Ghid Privind Implementarea Standardelor Internationale de Audit Intern 2019 PDF

GHID
PRIVIND IMPLEMENTAREA
STANDARDELOR
INTERNAŢIONALE
DE AUDIT INTERN
EDIIA a II-a
București, 2019
GHID
STANDARDELOR INTERNAŢIONALE
DE AUDIT INTERN
EDIŢIA a II-a
2019
Material elaborat de Comitetul de lucru „Audit intern”,
din cadrul CAFR, coordonat de Consiliul CAFR
Componenţa Comitetului de lucru (în ordine alfabetică):
Anca AMUZA-CONABIE
Corina LISTOSCHI
Mircea MUREŞAN
Iosif NAZARIE
Mircea POENARU
Monica Roxana ŞTEFAN
Diana VASILESCU
Consultanţi din partea

Asociaţiei Auditorilor Interni din România (AAIR):
Ruxandra BILIUS, preşedinte AAIR
Elena GHEORGHE, membru Consiliul Director AAIR
Maria CONSTANTINESCU, membru AAIR
Coperta, prezentarea grafică şi tehnoredactarea:

Nicolae LOGIN
© CAFR
Toate drepturile asupra acestei ediţii aparţin
Camerei Auditorilor Financiari din România (CAFR).
Reproducerea, fie şi parţială şi pe orice suport, este interzisă
fără acordul prealabil al CAFR, fiind supusă prevederilor
legii drepturilor de autor.
ISBN 978-973-0-30782-5
GHID
STANDARDELOR INTERNAŢIONALE
DE AUDIT INTERN
EDIŢIA a II-a
2019
Bucureşti, 2019
Cuprins 5
CUPRINS
Capitolul 1. INTRODUCERE......................................................................... 11
1.1. Prezentare generală a Ghidului ............................................................... 11
1.2. Scopul şi structura Ghidului .................................................................. 13
1.3. Cadrul de practici profesionale ale auditului intern ............................ 14
1.3.1. Cadrul internaţional de practici profesionale ale
auditului intern (IPPF): Cadrul pentru eficacitatea
auditului intern ............................................................................ 14
1.3.2. Cadrul legal naţional aplicabil pentru organizarea
activităţii de audit intern ............................................................ 15
Capitolul 2. ORGANIZAREA ŞI EXERCITAREA ACTIVITĂŢII DE AUDIT

INTERN .....................................................................................19
2.1. Clarificări generale asupra cadrului de guvernare .............................. 19
2.2. Guvernanţa corporativă în România .................................................... 21
2.3. Aspecte legate de relaţia auditorul intern şi structura de
guvernanţă .............................................................................................. 24
2.4. Comitetul de audit .................................................................................. 26
2.5. Relaţia dintre controlul intern şi auditul intern ................................... 28
2.5.1. Activităţile preventive de control intern .................................... 29
2.5.2. Activităţile de control de detectare ............................................ 29
2.6. Exercitarea activităţii de audit intern ................................................... 34
2.6.1. Rolul auditului intern în organizaţie ......................................... 34
2.6.2. Principiile fundamentale ale practicii profesionale a
auditului intern ............................................................................ 36
2.6.3. Obiectivele auditului intern ........................................................ 37
6 Ghid privind Implementarea Standardelor Internaţionale de Audit Intern 2019
2.6.4. Respectarea principiilor de etică ............................................... 39

2.6.5. Scepticismul profesional ............................................................. 40
2.6.6. Raţionamentul profesional ........................................................ 44
2.7. Tipuri de misiuni de audit intern .......................................................... 45
2.7.1. Prezentare ..................................................................................... 45
2.7.2. Poziţionarea ierarhică a structurii de audit intern în
cadrul organizaţiei ...................................................................... 47
Capitolul 3. ACCEPTAREA ŞI PREGĂTIREA MISIUNILOR DE AUDIT

INTERN ....................................................................................56
3.1. Prezentare succintă a Standardelor Internaţionale de Audit
Intern ...................................................................................................... 56
3.1.1. Standardele de Calificare ............................................................ 56
3.1.2. Standardele de Performanţă ...................................................... 56
3.2. Manualul de politici şi proceduri interne ............................................. 57
3.3. Acceptarea misiunii de audit intern ...................................................... 58
3.4. Carta de audit intern (Standardul 1000) .............................................. 61
3.5. Independenţă şi obiectivitate (Standardul 1100) ................................. 64
3.6. Declaraţia de respectare a Codului de Etică ......................................... 64
3.7. Universul de audit .................................................................................. 66
3.8. Planificarea activităţii de audit intern .................................................. 70
3.8.1. Plan strategic versus Plan anual ............................................... 70
3.8.2. Etapele elaborării planului de audit ......................................... 72
3.8.3. Aprobarea planului de audit intern .......................................... 74
Capitolul 4. IDENTIFICAREA ŞI EVALUAREA RISCURILOR ...................... 76

4.1. Aspecte preliminare ................................................................................ 76
4.2. Definirea riscului .................................................................................... 76
4.3. Conceptul de management al riscurilor................................................ 78
4.4. Detectarea riscurilor de către auditorul intern ................................... 79
4.5. Evaluarea riscurilor ................................................................................ 81
4.6. Matricea de risc a organizaţiei............................................................... 84
4.7. Strategii de răspuns la risc ale organizaţiei .......................................... 87
4.7.1. Transferarea (externalizarea) riscurilor ..................................88
Cuprins 7
4.7.2. Acceptarea (tolerarea) riscurilor ...............................................88

4.7.3. Reducerea (atenuarea) riscurilor ..............................................88
4.7.4. Evitarea (ocolirea) riscurilor ..................................................... 89
4.8. Revizuirea şi raportarea riscurilor ........................................................ 89
4.9. Model practic de întocmire a matricei de risc (în 5 trepte) ................90
4.10. Exemple de categorii de riscuri ........................................................... 94
Capitolul 5. DESFĂŞURAREA MISIUNII DE AUDIT INTERN ..................... 96

5.1. Standardele de performanţă aplicabile ................................................. 96
5.1.1. Coordonarea activităţii de audit intern (Standardul
2000) ............................................................................................. 96
5.1.2. Programul misiunii (Standardul 2240) .................................... 97
5.1.3. Realizarea misiunii (Standardul 2300) ..................................... 98
5.1.4. Comunicarea rezultatelor (Standardul 2400) .......................... 98
5.1.5. Monitorizarea progresului (Standardul 2500)......................... 98
5.1.6. Comunicarea acceptării riscurilor (Standardul 2600) ............ 99
5.1.7. Comunicarea cu conducerea superioară şi cu consiliul ........... 99
5.2. Desfăşurarea misiunii de audit intern ................................................ 100
5.2.1. Planificarea preliminară a misiunii de audit intern .............. 100
5.2.2. Notificarea începerii misiunii de audit intern ........................ 101
5.2.3. Deschiderea misiunii de audit intern....................................... 102
5.2.4. Elaborarea programului de lucru al misiunii ........................ 103
5.2.5. Realizarea efectivă a misiunii .................................................. 104
5.2.6. Verificarea finală şi revizuirea execuţiei misiunii de
audit intern ................................................................................. 106
5.3. Finalizarea misiunii de audit intern .................................................... 106
5.3.1. Elaborarea raportului de audit intern şi comunicarea
rezultatelor ................................................................................. 107
5.3.2. Şedinţa de conciliere a observaţiilor şi de închidere a
misiunii ........................................................................................ 112
5.3.3. Monitorizarea progresului ........................................................ 113
5.3.4. Comunicarea acceptării riscurilor ........................................... 115
5.4. Structurarea dosarelor de audit intern – documentarea

activităţii de audit intern ...................................................................... 116
Capitolul 6. PROGRAMUL DE ASIGURARE ŞI ÎMBUNĂTĂŢIRE A

CALITĂŢII .............................................................................. 119
6.1. Rolul programului de îmbunătăţire a calităţii .................................... 119
6.2. Monitorizare internă şi evaluare ......................................................... 120
6.2.1. Monitorizarea continuă ............................................................ 120
6.2.2. Chestionarele de evaluare ......................................................... 121
6.3. Indicatorii de performanţă urmăriţi în procesul de
monitorizare continuă .......................................................................... 121
6.4. Evaluări externe de calitate ................................................................. 123
6.5. Autoevaluarea ....................................................................................... 125
6.6. Comunicarea rezultatelor evaluării ..................................................... 126
Capitolul 7. ANEXE ..................................................................................... 129

Anexa 1: Model Contract prestări servicii de audit intern (în
cazul externalizării)..................................................................... 131
Anexa 2: Model Carta de audit intern ....................................................... 142
Anexa 3: Modele de Declarații privind respectarea codului de
etică .............................................................................................. 152
Anexa 4: Model Plan strategic/multianual de audit intern ................... 158
Anexa 5: Modele Planul anual de audit intern, fundamentare,
analiză riscuri, evaluare control intern ................................... 159
Anexa 6: Model Notificare privind începerea misiunii de audit
intern ........................................................................................... 169
Anexa 7: Model Minuta şedinţei de deschidere ......................................... 171
Anexa 8: Model Program general de lucru al misiunii de audit
intern ............................................................................................172
Anexa 9: Model Foaie de lucru ................................................................... 174
Anexa 10: Model Raport de audit intern ................................................... 176
Anexa 11. Schema procesului de conciliere ............................................... 179
Anexa 12: Model Minută şedinţa de închidere ......................................... 180
Anexa 13: Model Fişă de urmărire a implementării
recomandărilor........................................................................... 182
Cuprins 9
Anexa 14: Model Raport de monitorizare privind constatările şi

recomandările ............................................................................. 185
Anexa 15: Model Revizuirea dosarului misiunii de audit intern............ 187
Anexa 16: Modele pentru documentarea evaluării riscurilor ................. 192
Anexa 17: Model al Programului de asigurare şi îmbunătăţire a
calităţii activităţii de audit intern ............................................. 195
Anexa 18: Model Chestionar evaluări de calitate..................................... 198
Anexa 19: Model autoevaluare – declaraţia de conformitate cu
standardele IIA ........................................................................... 200
Anexa 20: Cerinţe şi aşteptări în zona „GDPR” .........................................203
Anexa 21: Informaţii utile despre riscul cibernetic .................................. 209
Anexa 22: Index anexe ghid privind implementarea standardelor
internaţionale de audit intern ediţia II – 2019 versus
ediţia I – 2015 .............................................................................. 212
Capitolul 1. Introducere 11
Capitolul 1. INTRODUCERE
1.1. Prezentare generală a Ghidului

Ghidul privind Implementarea Standardelor Internaţionale de Audit
Intern („Ghidul”) în ediţia actualizată 2019 reprezintă iniţiativa Camerei
Auditorilor Financiari din România (CAFR) de a răspunde cerinţelor Normelor
obligatorii emise de Global IIA (IIA)1 şi adoptate de CAFR prin Hotărârea
Consiliului nr. 111/2017, precum şi de a actualiza varianta iniţială a Ghidului,
emisă în anul 2015 ca un rezultat al colaborării dintre Camera Auditorilor
Financiari din România (CAFR) şi Asociaţia Auditorilor Interni din România
(AAIR).
Scopul acestei noi ediţii este de a contribui la menţinerea unor standarde
înalte de calitate privind organizarea, conducerea şi practica misiunilor de
audit intern de către auditorii financiari, membri ai CAFR, care coordonează
activităţi de audit intern, cât şi celor care fac parte din echipele misiunilor de
audit intern.
Subliniem faptul că această publicaţie nu înlocuieşte Standardele
Internaţionale de Audit Intern şi nici cele mai bune practici recomandate de
către Institutul Auditorilor Interni. Dorim ca acest Ghid să fie înţeles ca o
îndrumare practică, ca un material de referinţă pentru practicienii în
domeniu, abordarea noastră limitându-se la aspectele general aplicabile, care
lasă loc unei flexibilităţi de abordare, în funcţie de experienţa profesionistului,
de complexitatea sau caracterul specific al misiunii de audit intern.
Cele două organizaţii profesionale mai sus-menţionate (respectiv CAFR
şi AAIR) vin în ajutorul auditorilor financiari care efectuează misiuni de audit
intern, prin prezentarea unor recomandări metodologice şi proceduri tehnice,
prin actualizarea Ghidului anterior cu noile standarde de audit intern, precum
şi prin sugerarea unui set de modele de documente minimale necesare pentru
organizarea şi documentarea acestei activităţi, avându-se în vedere totodată
menţinerea unor standarde înalte de calitate, în contextul aplicării Normelor
1 Global IIA – The Institute of Internal Auditors – Institutul Internațional al Audito-

rilor Interni, USA.
obligatorii emise de IIA şi adoptate de Camera Auditorilor Financiari din

România.
Dorim să reiterăm că modelele formularelor cuprinse în acest Ghid nu
sunt exhaustive şi reprezintă linii orientative, astfel încât ele pot fi dezvoltate,
modificate şi adaptate de la caz la caz, în funcţie de specificul activităţii
organizaţiei auditate, menţinându-se un cadru procedural adecvat, în
conformitate cu Normele emise de CAFR pentru controlul calităţii activităţii de
audit intern desfăşurată de auditorii financiari, precum şi cu cerinţele
autorităţilor de reglementare şi supraveghere specifice domeniilor specializate.
Ca scurt glosar de termeni pe care îi veţi regăsi în cadrul acestui Ghid,
menţionăm că:
1. Prin „organizaţie” ne referim la orice entitate, din mediul
privat sau public, care intră sub incidenţa reglementărilor în
vigoare privind auditul financiar (fie obligatoriu, prin prevederile
legii, fie opţional prin decizia conducerii superioare) şi, implicit,
are obligaţia organizării activităţii de audit intern, conform
legislaţiei aplicabile în România. În cadrul Ghidului se va detalia
cadrul naţional aplicabil la momentul acestui Ghid.
2. Prin „conducerea superioară” sau „guvernanţa” ne refe-
rim, în ordinea existenţei, fie la comitetul de audit, fie la consiliul
de administraţie, fie la nivelurile superioare ale conducerii
organizaţiei respective, în funcţie de tipul organizaţiei şi de
modalitatea în care este administrată.
3. Prin „beneficiar” ne referim la conducerea organizaţiei care
contractează misiunea de audit intern, respectiv reprezentanţii
săi legali, la conducerea executivă a structurilor auditate sau,
după caz, la adunarea generală a acţionarilor sau la alte structuri
cărora conducerea superioară le-a acordat responsabilităţi
decizionale.
4. Prin „auditorul intern”, precum şi prin „structura de
audit” ne referim la departamentul sau compartimentul de audit
intern care funcţionează ca o componentă distinctă în structura
de organizare a unor organizaţii (entităţi) sau, pentru misiunile
de audit intern externalizate, la persoane fizice sau juridice care
desfăşoară astfel de misiuni.
5. Prin „coordonatorul activităţii de audit intern” ne referim
la persoana care coordonează activitatea de audit intern, fie că
este internalizată în cadrul organizaţiei sau externalizată printr-o
firmă de specialitate. Coordonatorul trebuie să deţină calitatea de
auditor financiar activ în România, conform prevederilor legale

aplicabile.
6. Prin „misiuni” sau prin „angajamente” se vor înţelege acele
misiuni de audit intern, aşa cum sunt ele detaliate în prezentul
ghid şi în nici un caz nu se face referire la auditul financiar decât
dacă este specificat expres acest aspect.
7. Prin „ciclu operaţional planificat” se va înţelege durata
minimă de 3 ani necesară auditorului intern ca să poată evalua şi
revizui toate elementele cuprinse în universul de audit şi planul
strategic. Aceasta este durata minimă prevăzută în standardele
internaţionale.
8. Prin „activităţi de control intern” ne referim la activităţile
corespunzătoare de control pentru fiecare proces, concepute
astfel încât să asigure reducerea riscurilor care pot afecta negativ
realizarea obiectivelor organizaţiei (conform model COSO).
1.2. Scopul şi structura Ghidului

Materialul de faţă îşi doreşte să sublinieze şi să ofere un suport pentru
înţelegerea:
 Importanţei şi locului auditului intern în cadrul guvernanţei unei
organizaţii şi maniera în care auditorul intern comunică cu condu-
cerea superioară în ceea ce priveşte observaţiile/riscurile/reco-
mandările din timpul misiunilor efectuate;
 Responsabilităţilor auditorului intern în cadrul organizaţiei auditate;
 Importanţa asigurării calităţii activităţii desfăşurate de auditorul
intern, prin prisma cerinţelor de documentare a misiunii;
 Modalitatea de documentare minimală a activităţii derulate, mai ales
de către acele firme de audit intern care sunt subcontractate de către
organizaţii care decid externalizarea acestei funcţii.
Menţionăm că prezentul Ghid se adresează practicienilor cu
expertiză în domeniul economic, domeniul financiar-contabil, cât
şi în cel al managementului şi al guvernanţei corporative 2 ale unei
organizaţii.
Ediţia 2019 a Ghidului este organizată în capitole/subcapitole care
urmăresc etapele practice de derulare a unei misiuni de asigurare. Astfel,
2 Pentru detalii a se vedea OECD (2019), OECD Corporate Governance Factbook 2019,
www.oecd.org/corporate/corporate-governance-factbook.htm.
fiecare capitol va conţine o parte narativă, explicativă a conceptelor incluse în

acel capitol şi acolo unde este cazul, modele de documentaţie sugerate de
CAFR. În cadrul secţiunilor practice vor exista o serie de scheme logice care să
faciliteze înţelegerea paşilor necesari de parcurs în cadrul unei misiuni de
asigurare şi să ghideze în ceea ce priveşte abordarea misiunii şi documentarea
activităţii desfăşurate.
Prezentul Ghid actualizează Ghidul anterior emis în 2015 şi, de aceea, în
multe situaţii, în Ghidul curent se vor regăsi materiale deja incluse ca Anexe în
vechiul Ghid, precum şi alte Anexe revizuite.
1.3. Cadrul de practici profesionale

ale auditului intern
1.3.1. Cadrul internaţional de practici profesionale ale
auditului intern (IPPF): Cadrul pentru eficacitatea
auditului intern3
Conform IIA, Cadrul internaţional de practici profesionale ale
auditului intern (IPPF – International Professional Practices Framework)
reprezintă cadrul conceptual care coordonează şi impune organizarea acti-
vităţii de audit intern, conform Normelor obligatorii şi a celor cu caracter de
recomandare, emise de IIA, în calitatea sa de organism internaţional de
reglementare a domeniului.
IIA a aprobat ultimele modificări ale Standardelor Internaţionale
pentru Practica Profesională a Auditului Intern (Standardele) în octombrie
2016 şi au intrat în vigoare la 1 ianuarie 2017.
În sprijinul membrilor săi, CAFR a adoptat aceste Standarde în decem-
brie 2017, prin Hotărârea Consiliului nr. 111/06.12.2017.
Ediţia revizuită include adăugarea a două standarde noi, introducerea în
„pachetul” Normelor obligatorii a „Principiilor fundamentale pentru practica
profesională a auditului intern”, precum şi actualizarea standardelor exis-
tente, în conformitate cu noile prevederi.
În completare, au fost actualizate şi completate şi Ghidurile de imple-
mentare a Standardelor, ca un suport în înţelegerea şi aplicarea corespun-
zătoare a Normelor obligatorii din IPPF 4.
3 Site Global IIA – iunie 2019.

4 https://global.theiia.org/standards-guidance/Pages/Standards-and-Guidance-IPPF.aspx.
Elementele obligatorii ale IPPF sunt:

 Principiile de bază ale practicii de audit intern5
 Definiţia auditului intern
 Codul de Etică
 Standardele Internaţionale pentru Practica Profesională a
Auditului Intern
Ghidurile (normele) recomandate descriu practici pentru imple-
mentarea efectivă a Principiilor fundamentale, Definiţiei auditului intern,
Codului de Etică şi Standardelor şi includ:
 Ghiduri de implementare
 Ghiduri (îndrumări) suplimentare.
Aplicarea în totalitate a IPPF 2017 constituie o modalitate coerentă prin
care practicienii trebuie să asigure condiţiile şi abilităţile de realizare a misiunii:
„De a consolida şi proteja valoarea organizaţională prin furnizarea
unei asigurări obiective, bazată pe risc, consultanţă şi percepţie”.
1.3.2. Cadrul legal naţional aplicabil pentru organizarea

activităţii de audit intern
Din punct de vedere al conformării cu reglementările aplicabile în
România6, obligaţia organizării activităţii de audit intern revine atât orga-
nizaţiilor care intră sub incidenţa obligativităţii auditării situaţiilor financiare
anuale, cât şi celor care optează pentru auditarea situaţiilor financiare anuale.
În contextul legislativ actual, legislaţia din România prevede:
(i) Legea societăţilor nr. 31/1990, republicată, cu modificările şi
completările ulterioare, care prevede:
- Art.160(2): „Societăţile ale căror situaţii financiare anuale
sunt supuse auditului financiar, potrivit legii sau hotărârii
acţionarilor, vor organiza auditul intern potrivit nor-
melor elaborate de Camera Auditorilor Financiari din
România”.
- Art.163(2): „Modalitatea şi procedura de raportare a audito-
rilor interni se stabilesc potrivit normelor elaborate de Camera
Auditorilor Financiari din România”.
5 Global IIA – Standards&Guidance.

6 Reglementarea activității de audit intern poate fi diferită în alte jurisdicții.
(5) „auditorii interni vor aduce la cunoştinţa membrilor consi-

liului de administraţie neregulile în administraţie şi încălcările
dispoziţiilor legale şi ale prevederilor actului constitutiv pe
care le constată, iar cazurile mai importante le vor aduce la
cunoştinţa adunării generale.”
(ii) Legea nr. 162/2017 privind auditul statutar al situaţiilor finan-
ciare anuale şi al situaţiilor financiare anuale consolidate şi de
modificare a unor acte normative, care prevede:
- Art.65(7): „Entităţile ale căror situaţii financiare anuale sunt
supuse, potrivit legii7, auditului statutar sunt obligate să
organizeze şi să asigure exercitarea activităţii de audit intern,
potrivit cadrului legal”.
- Art.44, alin 1 şi 2: Constituie contravenţie nerespectarea
prevederilor art 65, alin 7. Contravenţia prevăzută la alin 1 se
sancţionează cu amendă între 50.000 şi 100.000 lei.
- Art.44(3): Constatarea contravenţiilor şi aplicarea sancţiu-
nilor se fac de către persoanele stabilite prin ordin al
preşedintelui ASPAAS.
Maniera de control şi constatare a contravenţiilor se stabileşte prin
Norme emise de ASPAAS.
(iii) Ordonanţa de urgenţă a Guvernului (OUG) nr. 75/1999

privind activitatea de audit financiar, aprobată prin Legea
133/2002, republicată, cu modificările şi completările ulterioare
(OUG 75/1999):
- Art.3(3): „Auditul financiar se efectuează de către auditorii
financiari sau de firmele de audit care sunt autorizaţi/au-
torizate în condiţiile legii şi care sunt membri ai Camerei
Auditorilor Financiari din România, denumită în continuare
Camera, şi constă, în principal, din următoarele activităţi:
… e) audit intern, altul decât auditul public intern”.
7 Ne referim la Legea contabilității nr.82/1991, republicată, cu modificările și comple-

tările ulterioare, precum și la Ordinul ministrului finanțelor publice nr. 1802/
29.12.2014 pentru aprobarea Reglementărilor contabile privind situațiile financiare
anuale individuale și situațiile financiare anuale consolidate, cu modificările și
completările ulterioare.
- Art.5(4): „Camera elaborează:

…b) normele de audit intern, altele decât cele de audit public
intern;
c) reglementările necesare efectuării activităţilor prevăzute la
alin. (6);
d) alte reglementări necesare ducerii la îndeplinire a atribu-
ţiilor Camerei.”
- Art.5(6): „Camera, în exercitarea atribuţiilor sale, desfăşoară
următoarele activităţi:
a) organizează şi urmăreşte programul de formare continuă a
membrilor săi, pentru activităţile prevăzute la art. 3 alin. (3)
lit. b)-e);
b) controlează calitatea activităţii membrilor săi, pentru activi-
tăţile prevăzute la art. 3 alin. (3) lit. b)-e);
c) înaintează propuneri privind actualizarea legislaţiei prin
ASPAAS şi Ministerul Finanţelor Publice, precum şi a norme-
lor de audit financiar şi audit intern, în concordanţă cu
prevederile legii şi cu reglementările instituţiilor profesionale
europene şi internaţionale în domeniu;”
- Art.8(4): „Auditorii financiari care coordonează activitatea de
audit intern conform art. 23 trebuie să aibă statutul de auditor
financiar activ."
- Art.20:
„(1) Entităţile ale căror situaţii financiare anuale sunt
supuse, potrivit legii, auditului statutar sunt obligate să
organizeze şi să asigure exercitarea activităţii de audit
intern, potrivit legii.
(2) Standardele de audit intern aplicabile entităţilor prevă-
zute la alin. (1) sunt standardele internaţionale de audit
intern emise de Institutul Auditorilor Interni din Statele
Unite ale Americii şi adoptate de Cameră.
(3) La regiile autonome, companiile/societăţile naţionale,
precum şi la celelalte entităţi economice cu capital ma-
joritar de stat, activitatea de audit intern se organizează
şi funcţionează potrivit cadrului legal privind auditul
public intern din entităţile publice."
- Art.23: „Responsabilii pentru organizarea activităţii de audit

intern, coordonarea lucrărilor/angajamentelor şi semnarea
rapoartelor de audit intern trebuie să aibă calitatea de auditor
financiar”.
(iv) Hotărârea Consiliului CAFR nr. 111/2017 privind adoptarea
integrală a normelor obligatorii din Cadrul internaţional de
practici profesionale a auditului intern, ediţia 2017 (IPPF 2017).
Atribuirea calităţii de auditor financiar implică autorizarea de

către Autoritatea de Supraveghere a Activităţii de Audit Statutar
(ASPAAS), înregistrarea ca membru al Camerei Auditorilor Financiari
din România (CAFR) şi înregistrarea în Registrul public electronic
al auditorilor financiari şi firmelor de audit de către ASPAAS, în
conformitate cu prevederile Legii 162/2017 privind auditul statutar al
situaţiilor financiare anuale şi al situaţiilor financiare anuale consolidate şi
de modificare a unor acte normative, precum şi a actelor normative emise
de aceste două organisme.
Camera Auditorilor Financiari din România are responsabilitatea de a

elabora norme, aliniate contextului internaţional, pentru asigurarea calităţii şi
sprijinirea activităţii de audit intern.
Este încurajată conformarea activităţii auditorului financiar, conducător
al unei misiuni de audit intern, cu cerinţele celor mai bune practici în
domeniu, proiectate conform normelor emise de CAFR, AAIR şi a Standar-
delor Internaţionale de Audit Intern.
În completarea Normelor Obligatorii, pot fi avute în vedere: Documente
de poziţie, Ghiduri de implementare şi Îndrumări Practice emise de IIA 8;
diferite publicaţii CAFR.
(v) Reglementări secundare / terţiare emise de alte autorităţi de
reglementare şi supraveghere a activităţii aferente unor industrii specifice
(sector bancar, asigurări – reasigurări etc.).
8 https://global.theiia.org.
Capitolul 2. Organizarea şi exercitarea activităţii de audit intern 19
Capitolul 2. ORGANIZAREA ŞI EXERCITAREA

ACTIVITĂŢII DE AUDIT INTERN
În contextul IPPF, prin organizarea activităţii de audit intern se

înţelege:
„Un departament, compartiment, echipă de consultanţi sau alţi

practicieni care furnizează servicii de asigurare şi consiliere,
independente şi obiective, destinate să aducă valoare în organizaţie şi
să îmbunătăţească operaţiunile acesteia. Activitatea de audit intern
ajută o organizaţie în îndeplinirea obiectivelor sale printr-o abordare
sistematică şi metodică care evaluează şi îmbunătăţeşte efica-
citatea proceselor de guvernanţă, management al riscului şi control”
Standarde relevante: 2070 – Furnizorul Extern de Servicii şi
Responsabilitatea Organizaţională cu privire la Auditul Intern; Glosar.
Auditorul intern, angajat sau prestator de servicii, trebuie să fie

independent, obiectiv, competent şi poartă responsabilitatea calităţii
activităţii desfăşurate. Ca atare, nu trebuie să îşi asume nici un fel de
responsabilitate operaţională sau managerială în cadrul organizaţiei în care se
desfăşoară activitatea sa.
2.1. Clarificări generale asupra cadrului

de guvernare
Organizarea şi exercitarea activităţii de audit intern este o responsa-
bilitate exclusivă a organizaţiei şi se implementează prin intermediul
organului superior de guvernanţă 9 (consiliul de administraţie) sau, acolo unde
9 Societățile de grup care sunt înregistrate în România și desfășoară activitate pe

teritoriul României trebuie să se conformeze acelorași cerințe privind activitatea de
audit intern.
există, printr-o structură distinctă în cadrul acesteia 10 (respectiv Comitetul de

Audit11).
În situaţia organizaţiilor care funcţionează în baza unor reglementări
specifice sau unor legi speciale (asociaţii, fundaţii etc.) responsabilitatea
revine persoanelor care reprezintă organizaţia, potrivit cadrului legal.
În contextul mecanismului de guvernanţă al unei entităţi 12, toţi cei
implicaţi direct sau indirect în aceste activităţi ar trebui să îşi implementeze
propriul cadru de guvernare13, care să asigure:
 Protecţia drepturilor investitorilor asupra rezultatelor afacerii
desfăşurate;
 Obţinerea celor mai relevante şi semnificative informaţii despre
organizaţie şi informaţii de o calitate corespunzătoare şi dispo-
nibile în timp util, ca bază pentru sistemul de luare a deciziilor;
 Asigurarea celor mai bune condiţii de realizare a obiectivelor
propuse şi de continuare a afacerii în condiţii credibile, transpa-
rente, de funcţionalitate eficientă în cadrul unor condiţii
economice date şi de supravieţuire într-un mediu concurenţial.
Sistemul de guvernanţă14 trebuie să asigure:
 pe de o parte, realizarea funcţiilor organizaţiei şi,
 pe de altă parte, credibilitatea oricăror informaţii prezen-
tate şi a rezultatelor obţinute.
Funcţiile organizaţiei se realizează de către manageri şi conducerea
superioară prin îndeplinirea proceselor cheie legate de implementarea,
revizuirea, aplicarea şi monitorizarea:
 obiectivelor strategice;
 planurilor de acţiune;
10 Global IIA – Frequently Asked Questions: https://global.theiia.org/about/about-

internal-auditing.
11 Conform: Legea societăților nr. 31/1990, republicată, cu modificările și completările
ulterioare (Legea 31/1990); Legea nr.162/2017 privind auditul statutar al situațiilor
financiare anuale și al situațiilor financiare anuale consolidate și de modificare a
unor acte normative (Legea 162/2017).
12 Pentru detalii a se vedea OECD (2019), OECD Corporate Governance Factbook 2019
13 Vezi: OECD: Principles of Corporate Governance; Methodology for assessing the
implementation of the OECD Principles of Corporate Governance; Board Practices –
Incentives and governing risks (2011).
14 Legea societăților nr. 31/1990, republicată, cu modificările și completările ulterioare
(SECȚIUNEA II – Despre administrația societăţii).
 politicilor de risc;
 bugetelor;
 planurilor de afaceri;
 performanţelor.
Sarcinile primordiale ale managementului trebuie să se concentreze pe
atribuţiile privind eficienţa şi eficacitatea proceselor de guvernare, de
management al riscurilor şi de control. Astfel auditorul intern este un instru-
ment care trebuie să asigure, prin activitatea sa, îmbunătăţirea sistemului de
management în vederea îndeplinirii obiectivelor strategice şi operaţionale ale
organizaţiei.
2.2. Guvernanţa corporativă în România

Conceptul de guvernanţă corporativă, deşi foarte uzitat în practică în
ultimele decenii, nu are o definiţie unică consacrată.
Prima definiţie a guvernanţei corporative se referea la „ansamblul de
reguli prin care o companie este condusă şi controlată” (Cadbury, 1992). IIA
(2000) defineşte guvernanţa corporativă ca „un ansamblu de proceduri
utilizate de reprezentanţii părţilor interesate de companie pentru a oferi o
privire de ansamblu asupra riscului şi procedurilor de control administrate
de management”.
Conform definiţiei OECD15, guvernanţa corporativă reprezintă, în acelaşi
timp, atât un set de relaţii între managementul unităţii, consiliul de
administraţie, acţionari şi alte grupuri de persoane interesate, cât şi
structura prin care se stabilesc obiectivele societăţii şi mijloacele necesare
pentru ca acestea să fie atinse, precum şi sistemul de stimulente oferite
consiliului de administraţie şi conducerii pentru a urmări obiectivele în
interesul acţionarilor şi al societăţii.
Nici controlul intern nu are o singură definiţie consacrată. Totuşi, la
nivel internaţional, cea mai utilizată definiţie a controlului intern este cea
formulată de COSO16, respectiv „controlul intern este un proces implementat
de consiliul de administraţie, conducere şi alţi membrii ai personalului unei
entităţi, care îşi propune să furnizeze o asigurare rezonabilă cu privire la
atingerea următoarelor obiective: eficacitatea şi eficienţa funcţionării
controlului intern, fiabilitatea informaţiilor financiare, respectarea legilor şi
regulamentelor”.
15 OECD – Organisation for Economic Co-operation and Development.

16 COSO – The Committee of Sponsoring Organizations of the Treadway Commission:
Enterprise Risk Management – Integrated Framework.
*
Potrivit Legii societăţilor nr. 31/1990, republicată, cu modificările
şi completările ulterioare, în România o organizaţie poate fi administrată fie
în sistem unitar, fie în sistem dualist.
1. Sistemul unitar (administrarea societăţii este realizată de un
consiliu de administraţie)
În cazul sistemului unitar, societatea este administrată de un consiliu
de administraţie format dintr-un număr impar de administratori, nu mai
mic de trei în cazul celor care au obligaţia auditării. Consiliul de administraţie
sau adunarea generală desemnează preşedintele consiliului de administraţie
(în funcţie de prevederile actului constitutiv al societăţii). Consiliul de
administraţie poate delega (sau este obligat să delege în cazul societăţilor pe
acţiuni ale căror situaţii financiare anuale fac obiectul unei obligaţii legale de
auditare financiară) conducerea societăţii unuia sau mai multor directori, care
pot fi membri ai consiliului de administraţie sau nu. Unul dintre directori va fi
numit director general.
Inclusiv preşedintele consiliului de administraţie al societăţii poate fi
numit director general, dar doar dacă prin actul constitutiv sau printr-o
hotărâre a adunării generale a acţionarilor nu se interzice acest lucru.
Totuşi, numirea preşedintelui ca director are atât avantaje, cât şi
dezavantaje, ultimele fiind preponderente.
În literatura de specialitate separarea managementului executiv de direc-
torii cu responsabilităţi în guvernanţa corporativă (în sensul de a avea un
preşedinte al consiliului de administraţie independent sau neexecutiv şi un
director general) este considerată a fi în avantajul atât al societăţii, cât şi al
investitorilor sau al altor persoane interesate în societatea respectivă. Aceasta
deoarece riscul de fraudă în detrimentul societăţii şi al terţilor este mai mic,
deoarece preşedintele consiliului de administraţie poate veghea asupra
modului în care directorul general a transpus în practică strategiile stabilite de
consiliu, deoarece poate exista o colaborare benefică acţionarilor şi din alte
numeroase motive.
Pe de altă parte, există şi dezavantaje în separarea celor două roluri,
printre care: dificultatea de a găsi două persoane potrivite din punct de vedere al
experienţei profesionale şi al abilităţilor de a juca rolul liderului pentru toţi
angajaţii firmei, costuri mai mari, conflicte între cei doi şi altele.
Este important de reţinut că, dacă actul constitutiv nu interzice,
preşedintele consiliului de administraţie poate cumula şi funcţia de director
executiv. Acest lucru poate modifica procedurile de comunicare utilizate de
auditorul intern.
Dacă se decide în consiliul de administraţie al societăţii pe acţiuni

delegarea atribuţiilor de conducere către directori, majoritatea membrilor
consiliului de administraţie va fi formată din administratori neexecutivi, adică
membri ai consiliului de administraţie care nu au fost numiţi şi directori.
Consiliul de administraţie poate crea un comitet consultativ –
comitetul de audit – format din cel puţin doi membri ai consiliului şi
însărcinat în principal cu responsabilităţi şi cu elaborarea de recomandări
pentru consiliu în domeniul auditului şi raportării financiare. Comitetul va
înainta consiliului, în mod regulat, rapoarte asupra activităţii lui. Comitetul de
audit este format numai din administratori neexecutivi. Poate avea calitatea de
membru al comitetului de audit oricare dintre administratorii neexecutivi, dar
cel puţin unul trebuie să deţină experienţă în domeniul contabilităţii şi al
auditului financiar.
Experienţa relevantă va fi apreciată de consiliu în momentul numirii
administratorului în poziţia respectivă, consiliul urmând să informeze
adunarea generală a acţionarilor cu privire la alegerea sa.
2. Sistemul dualist (administrarea societăţii este realizată de

directorat şi de consiliul de supraveghere)
Societăţile pe acţiuni pot alege să fie administrate în sistem dualist, caz
în care prin actul constitutiv se va stipula că este administrată de un
directorat şi de un consiliu de supraveghere.
Practic, societatea va fi condusă de un directorat care acţionează sub
autoritatea unui consiliu de supraveghere. Spre deosebire de sistemul unitar,
nu trebuie să existe suprapunere între membrii celor două organisme (cel
executiv şi cel de supraveghere).
Aşa cum s-a precizat, în cazul sistemului de administrare dualist, con-
ducerea societăţii pe acţiuni revine în exclusivitate directoratului, care
îndeplineşte actele necesare şi utile pentru realizarea obiectului de activitate al
societăţii, cu excepţia celor rezervate de lege în sarcina consiliului de suprave-
ghere şi a adunării generale a acţionarilor.
Atât desemnarea, cât şi revocarea membrilor directoratului sunt în
sarcina consiliului de supraveghere, care atribuie totodată unuia dintre ei
funcţia de preşedinte al directoratului.
Directoratul este format din unul sau mai mulţi membri, numărul
acestora fiind totdeauna impar, iar în cazul societăţilor ale căror situaţii
financiare anuale fac obiectul unei obligaţii legale de auditare, numărul de
membri este cel puţin egal cu trei.
Directoratul îşi exercită atribuţiile sub controlul consiliului de supra-

veghere şi cel puţin o dată la 3 luni prezintă un raport scris consiliului de
supraveghere cu privire la conducerea societăţii, la activitatea acesteia şi la
posibila sa evoluţie.
Directoratul înaintează consiliului de supraveghere situaţiile financiare
anuale şi raportul său anual, precum şi propunerea detaliată cu privire la
distribuirea profitului rezultat din bilanţul exerciţiului financiar.
Membrii directoratului nu pot fi concomitent membri ai
consiliului de supraveghere.
Membrii consiliului de supraveghere sunt numiţi de către adunarea
generală a acţionarilor şi numărul lor nu poate fi mai mic de 3 şi nici mai mare
de 11, ei putând fi revocaţi tot de adunarea generală a acţionarilor.
Consiliul de supraveghere alege dintre membrii săi un preşedinte al
consiliului. Membrii consiliului de supraveghere nu pot fi concomitent membri
ai directoratului şi nici salariaţi ai societăţii.
2.3. Aspecte legate de relaţia auditorul intern şi

structura de guvernanţă
Atitudinea faţă de auditul intern, cât şi modul de administrare al
organizaţiei sunt aspecte importante de luat în considerare de către
coordonatorul activităţii de audit intern deoarece aceste considerente îi pot
influenţa procesul de raportare şi comunicare atât în cadrul organizaţiei, cu
structurile auditate, cât şi cu cei însărcinaţi cu guvernanţa corporativă.
Astfel, auditorii interni pot fi convocaţi la orice întrunire a consiliului
de administraţie. Atragem însă atenţia că auditorul intern nu are drept de
vot în această şedinţă, ci doar de participare.
Conform legii, conducerea executivă (directorii) trebuie să înştiinţeze
consiliul de administraţie despre toate neregulile constatate cu ocazia
îndeplinirii atribuţiilor lor.
Dacă administratorii au cunoştinţă despre neregulile săvârşite de pre-
decesorii lor imediaţi aceştia trebuie să le raporteze imediat auditorului intern
şi auditorului financiar. De asemenea, administratorii care încunoştiinţează
imediat auditorul intern şi auditorul financiar despre eventualele iregularităţi
(acte săvârşite, omisiuni sau alte nereguli) şi consemnează poziţia lor în
registrul deciziilor consiliului de administraţie sunt absolviţi de răspundere.
Conform Legii societăţilor nr. 31/1990, republicată, administratorul

care are într-o anumită operaţiune interese contrare intereselor societăţii,
direct sau indirect, trebuie să îi înştiinţeze despre aceasta pe ceilalţi
administratori şi pe auditorii interni şi să se abţină a lua parte la vreo
deliberare privitoare la această operaţiune.
Notă: Legea societăţilor nr. 31/1990, republicată, cu modificările şi com-
pletările ulterioare defineşte administratorul independent ca fiind
persoana ce trebuie să îndeplinească următoarele criterii:
a) să nu fie director al societăţii sau al unei societăţi controlate de către
aceasta şi să nu fi îndeplinit o astfel de funcţie în ultimii 5 ani;
b) să nu fi fost salariat al societăţii sau al unei societăţi controlate de
către aceasta ori să fi avut un astfel de raport de muncă în ultimii 5
ani;
c) să nu primească sau să fi primit de la societate ori de la o societate
controlată de aceasta o remuneraţie suplimentară sau alte avantaje,
altele decât cele corespunzând calităţii sale de administrator
neexecutiv;
d) să nu fie acţionar semnificativ al societăţii;
e) să nu aibă sau să fi avut în ultimul an relaţii de afaceri cu societatea
ori cu o societate controlată de aceasta, fie personal, fie ca asociat,
acţionar, administrator, director sau salariat al unei societăţi care
are astfel de relaţii cu societatea, dacă, prin caracterul lor
substanţial, acestea sunt de natură a-i afecta obiectivitatea;
f) să nu fie sau să fi fost în ultimii 3 ani auditor financiar ori asociat
salariat al actualului auditor financiar al societăţii sau al unei
societăţi controlate de aceasta;
g) să fie director într-o altă societate în care un director al societăţii
este administrator neexecutiv;
h) să nu fi fost administrator neexecutiv al societăţii mai mult de 3
mandate;
i) să nu aibă relaţii de familie cu o persoană aflată în una dintre
situaţiile prevăzute la lit. a) şi d).
În plus, conform art. 153 indice 15 din Legea societăţilor „directorii
unei societăţi pe acţiuni, în sistemul unitar, şi membrii directoratului, în
sistemul dualist, nu vor putea fi, fără autorizarea consiliului de admi-
nistraţie, respectiv a consiliului de supraveghere, directori, administratori,
membri ai directoratului ori ai consiliului de supraveghere, cenzori sau, după
caz, auditori interni ori asociaţi cu răspundere nelimitată, în alte societăţi

concurente sau având acelaşi obiect de activitate.
Legea societăţilor prevede că fie cenzorii, fie auditorii interni, după caz,
vor aduce la cunoştinţă membrilor consiliului de administraţie deficienţele de
control intern observate, precum şi încălcările dispoziţiilor legale şi ale
prevederilor actului constitutiv pe care le constată în activitatea desfăşurată.
Deficienţele de control intern cu riscuri semnificative pentru organizaţie se vor
aduce şi la cunoştinţa Adunării Generale a Acţionarilor (A.G.A.).
În cazul în care auditorii interni sunt însărcinaţi de A.G.A. să deruleze
misiuni speciale privind eventuale nereguli 17 sau să se implice în evaluarea
propunerilor privind situaţiile financiare ce urmează a fi adoptate, aceste
misiuni se pot derula doar în limita mandatului agreat, conform Cartei de
Audit Intern.
O prezentare detaliată a categoriilor de misiuni se regăseşte în
subcapitolul 2.7.
2.4. Comitetul de audit

Un consiliu de administraţie, respectiv cel de supraveghere, poate să
numească sau să constituie o serie de comitete consultative18 care să îi
permită un mai bun control în activitatea sa. Astfel, poate crea comitete de
audit, comitete de evaluare a riscurilor, comitete de remunerare etc.
În România, în contextul intrării în vigoare a Legii 162/2017, conform
art. 65, se prevede obligativitatea expresă ca entităţile de interes
public să aibă comitet de audit 19.
Pentru celelalte organizaţii, care intră în sfera auditului intern conform
cadrului naţional menţionat în subcapitolul 1.3.2. şi pentru care nu este
prevăzută obligativitate expresă de organizare a comitetului de audit intern, se
vor avea în vedere cerinţele prevăzute în Standardele Internaţionale de Audit
Intern de asigurare a unei independenţe organizaţionale, cu precădere cele din
standardul 1110 „Independenţa organizaţională”.
Comitetul de audit trebuie să fie un comitet independent sau un
comitet al consiliului de administraţie sau de supraveghere al organizaţiei
17 A se vedea art. 164, alin 1 din Legea 31/1990 republicată și modificată, în vigoare la
data elaborării Ghidului.
18 Pentru mai multe clarificări legate de guvernanța corporativă puteți consulta și
materialele actualizate publicate de Editura CECCAR în 2019, pe tema guvernanței
corporative.
19 A se consulta și legislația terțiară emisă de ASPAAS în legătură cu aplicarea Legii
162/2017.
auditate. Acesta este alcătuit din membri neexecutivi ai consiliului de

administraţie sau de supraveghere al organizaţiei auditate şi/sau din membrii
desemnaţi de adunarea generală a acţionarilor sau asociaţilor organizaţiei
auditate sau, pentru entităţile care nu au acţionari sau asociaţi, de un
organism echivalent.
Cel puţin un membru al comitetului de audit trebuie să deţină
competenţe în domeniul contabilităţii şi auditului statutar, dovedite prin
documente de calificare pentru domeniile respective.
Comitetul de audit trebuie să aibă calificările prevăzute de lege în
domeniul în care îşi desfăşoară activitatea organizaţia auditată.
Majoritatea membrilor comitetului de audit trebuie să fie independenţi
de organizaţia auditată. Preşedintele comitetului de audit este numit de
membrii acestuia sau de către consiliul de supraveghere al organizaţiei
auditate şi este independent de organizaţia auditată.
Fără a aduce atingere responsabilităţii administratorului organi-
zaţiei, membrilor consiliului de administraţie/supraveghere, de conducere ori
a altor membri care sunt numiţi de adunarea generală a acţionarilor sau
asociaţilor din cadrul organizaţiei auditate, comitetul de audit are, printre
altele, următoarele atribuţii:
a) informează administratorul organizaţiei sau membrii consiliului de
administraţie/supraveghere ai organizaţiei auditate, după caz, cu privire la
rezultatele auditului statutar şi explică în ce mod a contribuit auditul statutar
la integritatea raportării financiare şi care a fost rolul comitetului de audit în
acest proces;
b) monitorizează procesul de raportare financiară şi transmite
recomandări sau propuneri pentru a asigura integritatea acestuia;
c) monitorizează eficacitatea sistemelor controlului intern de
calitate şi a sistemelor de management al riscului organizaţiei şi, după caz, a
auditului intern în ceea ce priveşte raportarea financiară a organi-
zaţiei auditate, fără a încălca independenţa acestuia;
d) monitorizează auditul statutar al situaţiilor financiare anuale şi al
situaţiilor financiare anuale consolidate, în special efectuarea acestuia, ţinând
cont de constatările şi concluziile autorităţii competente, în conformitate cu
art. 26 alin. (6) din Regulamentul (UE) nr. 537/2014;
e) evaluează şi monitorizează independenţa auditorilor financiari sau a
firmelor de audit în conformitate cu art. 21 – 25, 28 şi 29 din prezenta lege şi
cu art. 6 din Regulamentul (UE) nr. 537/2014 şi, în special, oportunitatea
prestării unor servicii care nu sunt de audit către organizaţia auditată în

conformitate cu art. 5 din respectivul regulament;
f) răspunde de procedura de selecţie a auditorului financiar sau a firmei
de audit şi recomandă adunării generale a acţionarilor/membrilor organului
de administraţie sau supraveghere auditorul financiar sau firma/firmele de
audit care urmează a fi desemnată/desemnate în conformitate cu art. 16 din
Regulamentul (UE) nr. 537/2014, cu excepţia cazului în care se aplică art. 16
alin. (8) din Regulamentul (UE) nr. 537/2014.”
2.5. Relaţia dintre controlul intern şi auditul intern

În contextul guvernanţei corporative, controlul intern poate fi privit ca
un atribut al managementului, o funcţie a conducerii sau ca un mijloc de
cunoaştere a realităţii şi de corectare a erorilor.
Prin funcţia de control intern managementul evaluează în ce măsură şi-a
atins obiectivele, constată abaterile de la acestea, analizează cauzele care au
determinat abaterile şi dispune măsurile corective care se impun.
Conform bunelor practici în domeniu, controlul intern trebuie inclus,
într-o formă sau alta, în fiecare activitate şi trebuie să fie formalizat prin pro-
ceduri operaţionale de lucru, pe baza fişelor posturilor, însoţite de chestionare
şi liste de verificare, care de fapt sunt instrucţiuni de realizare a respectivelor
activităţi la care se ataşează şi activităţile de control intern.
În mod concret, managerul stabileşte pentru fiecare grup de activităţi o
serie de măsuri de control intern menite să limiteze şi să menţină riscurile
asociate în limitele apetitului de risc acceptat de organizaţie.
De exemplu: autocontrolul, supervizarea, controlul dual, con-
trolul ierarhic, reconcilieri, segregări de activităţi etc.
Riscurile evoluează continuu, pot afecta îndeplinirea obiectivelor pro-
gramate şi există posibilitatea ca acestea să producă efecte negative asupra
activităţii entităţii. Din această cauză trebuie implementat un sistem de control
intern pentru a administra aceste riscuri.
Controlul intern este un concept dinamic care vizează toate

nivelurile organizaţiei.
Activităţile de control intern trebuie corelate cu apetitul de risc

specific organizaţiei pentru fiecare domeniu sau activitate, precum şi cu ceea
ce este considerat acceptabil de organizaţie şi mandatarii acesteia. Activităţile
de control pot fi grupate în funcţie de momentul în care sunt exercitate în

activităţi preventive sau în acţiuni de depistare. Anumite activităţi de control
pot fi utilizate fie ca activităţi preventive, fie de detectare, în funcţie de
momentul şi forma în care se exercită.
2.5.1. Activităţile preventive de control intern

Acestea sunt acţiunile întreprinse de organizaţie pentru a asigura
funcţionarea corespunzătoare a sistemului, precum şi pentru a preveni
eventualele iregularităţi, fie ele erori, fie fraude. Activităţile de prevenire se
desfăşoară înainte sau în timpul derulării operaţiunilor, neputându-se
trece la faza următoare sau la înregistrarea operaţiunii respective în cazul în
care aceste activităţi arată neconformităţi. Spre exemplu, existenţa unei
proceduri de verificare a cantităţii faptice, pregătită de livrare, cu avizul de
expediţie care însoţeşte livrarea.
Aceste controale pot lua forme diverse, cum ar fi: forma unor parole,
carduri de acces sau chiar a unor semnături sau vize pe documente aplicate de
către persoanele abilitate, care nu trebuie doar să aplice viza, ci au şi rolul de a
se asigura că operaţiunea pe care o vizează este autorizată corespunzător şi,
eventual, are substanţă.
2.5.2. Activităţile de control de detectare

Acestea sunt cele menite a identifica funcţionarea neconformă a siste-
melor, precum şi eventualele iregularităţi, fie ele erori, fie fraude. Activităţile de
detectare sunt efectuate de regulă prin sondaj, după ce operaţiunile au fost
finalizate, asupra unui grup de operaţiuni omogene ca natură, cu scopul de a
descoperi anomaliile în funcţionarea sistemului sau pentru a se asigura că aceste
anomalii nu există. Spre exemplu: testarea unui eşantion de ordine de plată
pentru a se verifica dacă există ordine de plată insuficient autorizate, testarea
plăţilor în numerar prin casă pentru a le identifica pe cele ce depăşesc un anumit
plafon în vederea asigurării că nu s-a încălcat legislaţia privind plafonul
încasărilor – plăţilor în numerar sunt activităţi de control de depistare.
În practică, organizaţiile recurg la o combinaţie de activităţi de detectare
şi preventive pentru a asigura eficienţa maximă a sistemului de control intern,
pe bază de analiză cost-beneficiu.
Controalele pot fi implementate în sisteme manuale sau în sisteme
informatice. Ca exemplu de control implementat în sisteme manuale putem să
ne referim la necesitatea vizării anumitor tranzacţii înainte de a fi prelucrate
şi, mai concret, în lipsa autorizării plăţii de pe factura unui furnizor, nu se va

efectua plata, manual, de către persoana responsabilă cu plasarea ordinelor de
plată la bancă sau, în lipsa semnăturii coordonatorului de echipă de pe foaia de
pontaj a unui salariat, nu se vor lua în considerare orele declarate de acesta.
Controalele din sistemele informatice constau, de regulă, într-un
amestec de controale automate şi controale manuale. Această combinaţie
depinde de cultura organizaţională, de deschiderea faţă de tehnologie şi de
investiţia în acest sens, precum şi de natura şi complexitatea modului de
utilizare a sistemului informatic de către organizaţie.
Controalele automate sunt controalele încorporate în sistemul
informatic. Spre exemplu, sistemul nu permite să se înregistreze o descărcare a
gestiunii dacă stocul este insuficient, ceea ce ar duce la un sold negativ. Sau,
programul de contabilitate nu permite efectuarea de înregistrări care nu par
valide (lista tranzacţiilor valide trebuie, de regulă, stabilită de cineva cu autori-
tate corespunzătoare).
Controalele manuale pot fi independente de sistemul informatic (spre
exemplu, pentru a putea storna o înregistrare pe casa de marcat este nevoie de o
parolă a unui angajat cu autorizare specială), pot utiliza informaţii generate de
sistemul informatic sau pot fi limitate la monitorizarea funcţionării eficiente a
sistemului informatic şi a controalelor automate şi la tratarea excepţiilor (spre
exemplu, o persoană responsabilă cu revizuirea balanţei de verificare obţine
balanţa din programul de contabilitate şi o analizează pentru a descoperi
eventuale nereguli; sau, pe baza datelor din balanţa de verificare şi a datelor de la
organul fiscal competent, se reconciliază evidenţa fiscală cu cea contabilă).
Utilizarea sistemelor informatice de către organizaţie influenţează modul
în care sunt implementate activităţile de control. Controalele sistemelor
informaţionale sunt considerate eficiente atunci când păstrează integritatea
informaţiilor, securitatea datelor pe care aceste sisteme le procesează şi atunci
când includ controale generale ale sistemelor informaţionale şi controale ale
aplicaţiilor.
Deoarece sistemele informatice sunt din ce în ce mai utilizate în toate
entităţile şi aproape la toate nivelurile, responsabilul pentru audit intern ar
trebui să se întrebe dacă este nevoie în echipa sa de un specialist în sisteme
informatice.
Activităţile de control cel mai des întâlnite sunt:
1. Proceduri de autorizare şi aprobare. Este important ca orga-
nizaţia să aibă proceduri eficiente pentru aprobarea şi autorizarea tran-
zacţiilor. Spre exemplu, la retragerea de numerar dintr-un cont bancar, cel
puţin două semnături şi autorizări sunt necesare: una este a persoanei care
operează tranzacţia şi cealaltă a persoanei care autorizează tranzacţia şi care,

în mod normal, ar trebui să verifice dacă tranzacţia îndeplineşte toate
condiţiile pentru a fi autorizată (spre exemplu: dacă este documentată
corespunzător). Casierul nu va elibera numerarul până la primirea dispoziţiei
de plată autorizată corespunzător.
2. Segregarea responsabilităţilor. Este o formă de control des
răspândită, eficientă şi recomandată. Spre exemplu, teoria spune că o singură
persoană este bine să nu cumuleze două din următoarele tipuri de sarcini:
autorizare, procesare, înregistrare, revizuire. Aceasta deoarece riscul de
comitere a unor neregularităţi sau de nedetectare a lor este mult mai mare.
Spre exemplu: dacă o singură persoană este responsabilă cu întocmirea
statelor de salarii în funcţie de fişele de pontaj, cu calculul salariilor şi cu plata
lor, riscul de fraudă este mai mare, persoana respectivă putând să majoreze
salariile declarate şi înregistrate în contabilitatea firmei şi să îşi plătească
diferenţa în propriul cont bancar, frauda fiind greu de detectat. La firmele
mici, unde resursele sunt limitate, de multe ori se întâmplă ca o persoană să
cumuleze mai multe sarcini.
3. Controale privind accesul la resurse şi înregistrări. Constau
în utilizarea unor parole pentru fiecare persoană în funcţie de nivelul de acces
la care are dreptul, dar şi în utilizarea unor carduri care restricţionează accesul
fizic în anumite spaţii sau zone. Doar repartizarea parolelor nu este suficientă,
organizaţia trebuind să se asigure că acestea sunt sigure (spre exemplu,
suficient de complexe pentru a nu putea fi ghicite), sunt schimbate periodic
(anumite firme au o politică de a le schimba o dată la 3 luni, spre exemplu) şi
persoanele neautorizate nu pot intra în posesia lor.
4. Verificări şi revizuiri ale operaţiilor, proceselor şi activită-
ţilor. Constau în acţiunea de a controla tranzacţii sau înregistrări pentru a se
asigura că sunt corecte (corect reflectate, înregistrate, îndeplinite etc.).
5. Reconcilieri. Reconcilierea, ca activitate de control, constă, printre
altele, în compararea unor indicatori cu alţii cu care se estimează că au
legătură. Spre exemplu, putem reconcilia cheltuielile cu salariile cu cheltuielile
generate de contribuţiile sociale, existând probabilitatea de a detecta anumite
omisiuni de înregistrare sau erori de calcul în cazul unor relaţii neobişnuite. Se
pot reconcilia atât indicatori financiari, cât şi cei nefinanciari. Spre exemplu,
verificând numărul de ore lucrate pe categorii de personal cu cheltuielile
salariale sau cu rezultatele obţinute, putem identifica anumite fraude de
natură salarială.
6. Protecţia activelor – toate activele trebuie protejate împotriva
furtului sau a altor evenimente ce le poate afecta valoarea. Spre exemplu,
fiecare activ este dat în gestiune unei persoane care răspunde pentru el.
Inventarierile periodice sunt un alt exemplu de astfel de activitate de control.
7. Oricare alte forme care vin să susţină activitatea de control

intern.
Sistemul de control intern, oricât ar fi de bine proiectat şi implementat,
nu este infailibil. Aceasta deoarece are limitări inerente, cauzate de factori,
cum ar fi:
 raţionamentul uman în luarea de decizii poate fi eronat şi, ca atare,
deficienţele controlului intern pot apărea din cauza erorii umane.
Eroarea umană poate apărea la proiectarea unui control sau la
modul în care o activitate de control este efectuată;
 posibilitatea ca două sau mai multe persoane să lucreze împreună
pentru a evita controalele;
 poziţia favorizată pe care o are conducerea pentru a eluda controlul
intern prin evitarea controalelor implementate;
Principalele modele de control intern aplicate la nivel internaţional,
concepute pentru organizarea sistemului de control intern şi care răspund
cerinţelor managementului riscurilor sunt:
 Modelul COSO – USA;
 Modelul CoCo – Canada.
Modelul COSO20 se reprezintă în mod simbolic printr-un cub şi

anume:
Elementele esenţiale ale cubului COSO se pot sumariza astfel:
20 https://adimunteanu.com/2009/11/10/coso-%C8%99i-risk-it-framework/
(i) Mediul de control se referă la atitudinea generală, integritatea,

valorile etice şi comportamentele angajaţilor; stilul de conducere al mana-
gementului, precum şi la măsurile luate de conducere şi de cei însărcinaţi cu
guvernanţa privind sistemul intern de control şi importanţa sa în cadrul
organizaţiei.
Mediul de control este baza tuturor celorlalte componente ale controlului
intern, asigurând aplicarea în mod eficace a sistemului de control intern.
(ii) Evaluarea riscurilor

Orice organizaţie este afectată de riscurile care pot fi: riscuri proprii
funcţionării organizaţiei însăşi, riscuri specifice fiecărei activităţi, dar şi riscuri
externe. Unele riscuri sunt acceptabile şi inerente fiecărei activităţi, altele sunt
însă riscuri inacceptabile. Noţiunea de risc poate avea o conotaţie negativă
atunci când se referă la starea de incertitudine, ameninţare sau la obstacole în
îndeplinirea obiectivelor, dar poate avea şi conotaţie pozitivă atunci când se
referă la oportunităţi sau şanse.
Entităţile creează sisteme de control intern care să le permită pe cât
posibil să evite riscurile inacceptabile sau să le menţină la un nivel acceptabil
şi să menţină la nivel optim riscurile acceptabile în vederea atingerii
obiectivelor pe care şi le-au propus.
Legătura dintre apetitul pentru risc al organizaţiei şi nivelul de profita-
bilitate trebuie să fie de tipul „variabilă directă”, în sensul că riscurile
suplimentare aferente unei afaceri trebuie remunerate suplimentar către
investitori.
(iii) Activităţile de control intern reprezintă măsuri de realizare a

sarcinilor şi oferă o asigurare rezonabilă că bunurile vor fi protejate şi
operaţiunile realizate vor fi îndeplinite aşa cum au fost programate.
(iv) Informarea şi comunicarea

Informarea şi comunicarea presupun „difuzarea internă de informaţii
pertinente, fiabile, a căror cunoaştere permite fiecăruia să-şi exercite respon-
sabilităţile”, conform explicaţiei COSO. Informaţiile relevante sunt infor-
maţiile pertinente, cheie, care trebuie să parvină la timp şi într-o formă
convenabilă. Informaţia inutilă trebuie înlăturată, iar informaţia pertinentă
trebuie analizată de către cei responsabili pentru a se putea lua decizii în
cunoştinţă de cauză. Capacitatea conducerii de a lua decizii adecvate este
influenţată de calitatea informaţiilor, ceea ce presupune ca informaţiile să fie

adecvate, oportune, actuale, corecte şi accesibile.
Comunicarea efectivă trebuie să aibă loc într-un sens mai larg şi să
implice toate activităţile şi toate structurile organizaţiei. Comunicarea efectivă
trebuie să aibă loc de sus în jos şi de jos în sus prin toate componentele şi prin
întreaga structură a organizaţiei.
(v) Monitorizarea
Monitorizarea se referă la supravegherea permanentă a sistemului de
control intern, precum şi la examinarea modului său de funcţionare. În
practică s-a dovedit că managerii de la toate nivelurile, mai ales cei care nu au
proceduri formalizate sau actualizate, desfăşoară activităţi de control intern
fără să realizeze acest lucru. Astfel, fiecare responsabil, oriunde s-ar afla, se
organizează pentru a-şi conduce activitatea prin: definirea sarcinilor fiecărui
angajat, stabilirea instrumentelor şi tehnicilor de lucru, pregătirea profe-
sională a angajaţilor, dotarea cu echipamente şi sisteme electronice, supervi-
zarea activităţii personalului.
În practică, regăsim o combinaţie a componentelor actualelor modele de
control intern consacrate (respectiv COSO, COSO II, modelul descris prin ISA
315), adaptate la specificul entităţilor.
În concluzie, implementarea sistemului de control în cadrul

unei organizaţii şi asigurarea că politicile de control intern
sunt adecvate pentru atingerea obiectivelor acesteia sunt
responsabilităţile managementului, iar oferirea unei asigurări
managementului cu privire la completitudinea, funcţiona-
litatea şi gradul de adecvare al sistemului de control intern
revine auditului intern.
2.6. Exercitarea activităţii de audit intern

2.6.1. Rolul auditului intern în organizaţie
Auditul intern, prin activităţile desfăşurate, monitorizează implemen-
tarea procedurilor de control intern, a celor pentru management al riscurilor
şi, nu în ultimul rând, al proceselor de guvernanţă.
Auditul intern joacă un rol important în găsirea unor soluţii eficiente şi

în asistarea procesului de implementare şi dezvoltare a tehnicilor şi
instrumentelor necesare în acest proces de identificare a riscurilor.
Auditorul intern trebuie să aibă o înţelegere profundă a guvernan-
ţei corporative pentru a putea susţine şi consilia managementul şi implicit
pentru a putea contribui la atingerea obiectivelor organizaţiei în condiţii de
performanţă.
Într-o abordare a practicii internaţionale, explicarea rolului auditului
intern poate fi identificat în documentul de poziţie IIA „Cele trei linii de
apărare pentru eficienţa managementului riscului şi al contro-
lului”, model agreat şi de Comisia Europeană.
A. Linia I: Funcţiile ce deţin şi gestionează riscurile, prin

managementul operaţional – activitate ce se exercită prin managerii
care gestionează riscuri şi sunt responsabili pentru menţinerea unor
controale interne eficiente şi pentru executarea procedurilor de
control cu frecvenţă zilnică („day-to-day basis”). Managementul
operaţional identifică, evaluează, controlează şi atenuează
riscurile, ghidează dezvoltarea şi implementarea politi-
cilor şi procedurilor interne, dar şi asigură faptul că activi-
tăţile sunt consecvente cu scopurile şi obiectivele organizaţiei.
B. Linia II: se referă la funcţia de administrare/gestionare a riscurilor
şi la funcţiile de conformitate. În concepţia IIA, prin linia a II-a de
apărare se asigură proiectarea, implementarea şi funcţionarea
adecvată a primei linii de apărare. Astfel, se poate interveni în mod
direct în modificarea şi dezvoltarea sistemelor de control intern şi de
risc.
C. Linia III: asigură funcţia de audit intern. Auditorul intern furni-

zează structurii de guvernanţă şi conducerii executive o asigurare
situată la cel mai înalt nivel de independenţă şi obiectivitate asupra
eficacităţii sistemului de management al riscului, control şi
guvernanţă. Acest nivel de asigurare nu se poate obţine în primele
două linii de apărare menţionate mai sus.
Standardele Internaţionale de audit Intern acordă o atenţie deosebită
conceptului de valoare adăugată în cazul auditului intern.
Plus-valoarea muncii de audit intern nu se concretizează doar prin
raportul de audit intern sau prin recomandări şi concluzii formulate în cadrul
misiunii. Acesta este în fapt doar un mijloc de comunicare cu conducerea
organizaţiei. Există însă alte aspecte care pot fi considerate valoare adăugată
pentru rolul auditului intern, cum ar fi: schimbarea mentalităţii celor auditaţi,
oportunităţile pe care le creează sau creşterea receptivităţii conducerii faţă de
riscuri.
Privit din această perspectivă, auditul intern ar trebui să fie un element
care să asigure transparenţa informaţiilor şi să contribuie la eficientizarea
strategiilor organizaţiei.
2.6.2. Principiile fundamentale ale practicii profesionale a

auditului intern
În „Normele obligatorii”21 IIA, componenta „Principiile fundamentale”
(„Core Principles”) reprezintă o cerinţă imperativă. Pentru ca funcţia de audit
intern să fie considerată eficientă, toate principiile fundamentale trebuie să fie
considerate ca un tot unitar. Maniera în care se demonstrează însă respectarea
principiilor fundamentale diferă de la o organizaţie la alta 22.
Misiunea auditului intern este „de a spori şi proteja valoarea organiza-
ţională prin oferirea de asigurare, consiliere şi cunoaştere profundă
fundamentate pe principii obiective bazate pe risc” 23.
Practica profesională a auditului intern trebuie:
 Să demonstreze integritate;
 Să demonstreze competenţă şi conştiinciozitate profesională;
21Conform Global IIA – Standards&Guidance; traducere în limba română: AAIR.

22 În acest context, avem în vedere eficacitatea ca și calitate a rezultatelor acțiunilor în-
deplinite, apreciată ca raport între efectul proiectat și rezultatul efectiv al activității.
23 Traducere în limba română publicată pe site-ul IIA Global – Mission of Internal
Audit – Romanian.
 Să fie obiectivă şi să nu fie supusă unor influenţe nepotrivite (să fie

independentă);
 Să se alinieze strategiilor, obiectivelor şi riscurilor organizaţiei;
 Să fie poziţionată corespunzător în cadrul organizaţiei şi să
dispună de resurse adecvate;
 Să demonstreze calitate şi îmbunătăţire continuă;
 Să comunice eficient;
 Să furnizeze o asigurare bazată pe risc;
 Să aibă o cunoaştere detaliată, să fie pro-activă şi orientată către
viitor;
 Să promoveze îmbunătăţirea organizaţională.
Deşi Normele obligatorii 2017 nu oferă îndrumări sau reco-

mandări privind modul de aplicare şi de recunoaştere a îndeplinirii
principiilor de bază, totuşi, se consideră că respectarea lor reprezintă un
rezultat al cunoştinţelor profesionale acumulate ale auditorului
intern, în contextul unei experienţe adecvate.
2.6.3. Obiectivele auditului intern
„Auditul intern este o activitate independentă de asigurare

obiectivă şi/sau de consiliere destinată să adauge valoare şi
să îmbunătăţească operaţiunile unei organizaţii. Ajută o
organizaţie în îndeplinirea obiectivelor sale printr-o abor-
dare sistematică şi metodică care evaluează şi îmbunătăţeşte
eficacitatea proceselor de management al riscului, control şi
guvernanţă” (IIA, 2017)
Existenţa unui sistem de management al riscurilor performant, a unui

sistem de control intern eficient şi implicit, a unei bune guvernanţe
corporative creează premisele valorificării rolului auditului intern în
cadrul organizaţiei.
Sfera de aplicabilitate, obiectivele şi modul de efectuare a misiunilor de

audit intern depind de domeniul de activitate, complexitatea
organizaţiei, corelată direct cu experienţa profesională a auditorului
intern şi de capacitatea sa de a raţiona profesional pentru cele mai
oportune, obiective, eficiente şi eficace decizii în activitatea sa.
În cadrul misiunilor de audit intern sunt stabilite obiective în confor-

mitate cu Standardele de Audit Intern – Standard IIA 2120. A1, A2:
1. Obiectivele urmărite pentru îmbunătăţirea procesului de guvernanţă;
2. Obiectivele urmărite în evaluarea managementului riscului şi
controlului intern;
3. Obiectivele urmărite în cadrul misiunilor de consiliere.
1. Obiectivele urmărite pentru îmbunătăţirea procesului de

guvernanţă
Conform Standardelor Internaţionale pentru Practică Profesională a
Auditului Intern adoptate de CAFR, obiectivele urmărite în cadrul misiunilor
de asigurare, în scopul îmbunătăţirii procesului de guvernanţă
(Standardul 2110 – Guvernanţa), sunt:
 Promovarea unei conduite etice adecvate şi a valorilor cores-
punzătoare în cadrul organizaţiei;
 Asigurarea unui management eficace al performanţei în cadrul
organizaţiei şi al asumării răspunderii;
 Comunicarea informaţiilor privind riscul şi controlul către structurile
corespunzătoare din organizaţie; şi
 Coordonarea activităţilor şi comunicarea informaţiilor între consiliul
de administraţie, auditorii interni şi externi şi managementul
organizaţiei.
2. Obiectivele urmărite în evaluarea managementului riscului şi

controlului intern
Conform Standardelor Internaţionale pentru Practica Profesională a
Auditului Intern (Standardele), obiectivele urmărite în cadrul misiunilor de
asigurare în vederea evaluării eficienţei şi eficacităţii controalelor interne
şi expunerii la riscuri (Standardul 2120.A1 – Managementul riscurilor şi
Standardul 2130.A1 – Controlul) sunt:
 Îndeplinirea obiectivelor strategice ale organizaţiei;
 Fiabilitatea şi integritatea informaţiilor financiare şi operaţionale;
 Eficacitatea şi eficienţa operaţiunilor şi a programelor operaţionale;
 Protejarea activelor; şi
 Conformitatea cu legi, regulamente, politici, proceduri şi contracte.
3. Obiectivele urmărite în cadrul misiunilor de consiliere

Conform Standardelor Internaţionale pentru Practica Profesională a
Auditului Intern, obiectivele urmărite în cadrul misiunilor de consiliere, cu-
noscute şi sub denumirea de misiuni de consultanţă, sunt:
 Evaluarea eficacităţii proceselor de management al riscului, control şi
guvernanţă;
 Îmbunătăţirea proceselor de management al riscului din cadrul
organizaţiei printr-o abordare sistematică şi metodică.
Obiectivele urmărite în cadrul misiunilor de audit intern se pot adapta în
cazul entităţilor care au organizată activitatea de audit intern conform
reglementărilor specifice aplicabile (cum ar fi instituţiile de credit, instituţiile
financiare etc.).
2.6.4. Respectarea principiilor de etică

În contextul Normelor obligatorii emise de IIA se identifică următoarele
cerinţe de referinţă în desfăşurarea activităţii de audit intern, cerinţe care
trebuie îndeplinite în mod cumulativ:
 Independenţa – trebuie apreciată ca inexistenţa oricăror impe-
dimente care ar afecta judecarea cu totală obiectivitate a faptelor.
Independenţa poate avea două forme: independenţa în fapt şi cea
în aparenţă. Independenţa trebuie menţinută atât la nivel
funcţional (libertate faţă de orice alte activităţi sau responsabilităţi în
cadrul organizaţiei), cât şi la nivel organizaţional (libertatea de
exprimare, comunicare în condiţii de totală obiectivitate).
 Integritatea – presupune concomitent onestitate, profesionalism şi
responsabilitate în derularea activităţii curente.
 Obiectivitatea – trebuie înţeleasă ca o atitudine intelectuală nein-
fluenţată, care permite auditorilor interni să îşi efectueze misiunile
într-o manieră care demonstrează credinţa lor sinceră în rezultatele
muncii lor şi faptul că nu au făcut compromisuri privind calitatea.
Obiectivitatea cere auditorilor interni să nu îşi subordoneze raţio-
namentul profesional niciunui interes subiectiv legat de aspecte ale
misiunii de audit intern. Presupune ca auditorul intern să nu-şi lase
afectat raţionamentul profesional în colectarea, evaluarea şi
comunicarea informaţiilor legate de realizarea obiectivelor misiunii
 Asigurarea / oferirea de încredere în ceea ce priveşte gradul de
control al operaţiunilor.
 Îndrumarea pentru îmbunătăţirea operaţiunilor.

 Adăugarea de valoare / plus de valoare, în sensul în care
activitatea de audit intern trebuie să ofere organizaţiei cât mai multe
oportunităţi, ocazii pentru atingerea şi îmbunătăţirea obiectivelor
sale, concretizate în îmbunătăţirea sistemelor operaţionale, reducerea
expunerii la risc prin eficacitatea şi eficienţa proceselor de
guvernanţă, managementul riscului şi control.
 Confidenţialitate – Auditorii interni respectă valoarea şi dreptul de
proprietate asupra informaţiilor pe care le primesc şi nu furnizează
informaţii fără o aprobare corespunzătoare, decât în cazul în care
există obligaţii legale sau profesionale
 Competenţa – Auditorii interni aplică cunoştinţele, abilităţile şi
experienţa necesare în desfăşurarea auditului intern. Competenţa
trebuie avută în vedere şi recunoscută obiectiv din momentul
acceptării misiunii, dar şi pe parcursul derulării acesteia (inclusiv în
ceea ce priveşte competenţa profesională a membrilor echipei, chiar
dacă sunt specialişti în domenii care nu ţin de calificarea economică).
Trebuie luate în considerare cunoştinţele, abilităţile şi experienţa
acumulată, dar şi programele de perfecţionare şi îmbunătăţire a
calităţii.
Codul de Etică din cadrul IPPF prezintă principiile relevante pentru
profesia şi practica de audit intern, precum şi regulile de conduită care descriu
comportamentul aşteptat din partea auditorilor interni. Codul de Etică se
aplică atât persoanelor fizice, cât şi celor juridice care furnizează servicii de
audit intern.
Scopul său este de a promova o cultură organizaţională bazată
pe etică în cadrul profesiei de audit intern.
2.6.5. Scepticismul profesional

2.6.5.1. Definirea scepticismului profesional
Scepticismul profesional reprezintă o atitudine care include o gândire
rezervată, acordându-se o atenţie deosebită condiţiilor care ar putea indica o
posibilă denaturare datorată fraudei sau erorii, precum şi evaluarea critică a
probelor de audit.
Ca şi alte concepte fundamentale pentru auditul intern, sensul
scepticismului profesional este dificil de explicat într-o singură definiţie. Mai
mult, nu există un singur mod prin care poate fi demonstrat scepticismul
profesional.
Ca atitudine, scepticismul profesional este de fapt un mod de gândire.

O mentalitate sceptică determină comportamentul auditorului intern şi îi
permite o abordare suspicioasă, atunci când analizează o informaţie şi îşi
formulează concluziile. În acest sens, scepticismul profesional este direct
corelat cu principiile etice fundamentale ale obiectivităţii şi independenţei
auditorului intern. Independenţa întăreşte capacitatea auditorului intern de a
acţiona cu integritate şi obiectivitate şi de a-şi păstra o atitudine de scepticism
profesional.
Scepticismul profesional include, de asemenea, starea de alertă asupra,
spre exemplu, probelor de audit contradictorii sau asupra informaţiilor care
pun sub semnul întrebării credibilitatea documentelor sau a interogărilor ce
vor fi utilizate ca probe de audit. Mai mult, acesta presupune o atenţie sporită
asupra circumstanţelor care pot indica o posibilă fraudă şi asupra condiţiilor
care sugerează necesitatea unor proceduri de audit suplimentare.
De asemenea, scepticismul profesional include evaluarea critică a
probelor de audit. Utilizarea scepticismului profesional în această privinţă
semnifică chestionarea şi luarea în considerare a caracterului suficient şi
adecvat al probelor de audit obţinute, în circumstanţele date.
În situaţia în care există îndoieli privind credibilitatea informaţiilor sau
indicaţii privind existenţa fraudei, auditorul intern trebuie să efectueze
investigaţii mai laborioase şi să determine ce modificări sau proceduri de audit
suplimentare sunt necesare pentru rezolvarea acestor aspecte. Gradul de
dificultate, timpul sau costul implicat nu constituie, ele însele, un fundament
valid încât auditorul intern să omită o procedură de audit pentru care nu există
alternativă sau să se declare satisfăcut cu probe de audit care sunt mai puţin
convingătoare.
2.6.5.2. Importanţa scepticismului profesional în cadrul misiunii de

audit intern
Scepticismul profesional este influenţat de trăsăturile personale de
comportament, de exemplu, atitudinile şi valorile etice, precum şi de nivelul
competenţelor auditorului intern. Acestea, la rândul lor, sunt influenţate de
educaţie, pregătire şi experienţă.
Ca şi raţionamentul profesional, scepticismul profesional
trebuie exercitat pe tot parcursul desfăşurării misiunii.
Menţinerea scepticismului profesional pe parcursul misiunii de audit
intern îi permite auditorului să reducă riscurile de omitere a unor circumstan-
ţe neobişnuite, generalizarea excesivă în momentul formulării concluziilor pe
marginea observaţiilor de audit sau utilizarea unor prezumţii inadecvate în
determinarea naturii, perioadei şi amplorii procedurilor de audit intern şi în

evaluarea rezultatelor acestora.
Scepticismul profesional este relevant şi necesar în cadrul fiecărei
etape a procesului de audit. De exemplu:
 la identificarea şi evaluarea riscurilor de denaturare semnificativă
(de exemplu, când sunt efectuate proceduri de evaluare a riscurilor);
 atunci când este revizuită evaluarea auditorului cu privire la riscurile
de denaturare semnificativă şi sunt modificate, în consecinţă,
procedurile de audit viitoare planificate, de exemplu, ca urmare a
unor informaţii noi care sunt inconsecvente cu probele de audit pe
care auditorul intern şi-a bazat iniţial evaluarea, sau prin atenţia
acordată modificărilor în circumstanţele date, a noilor informaţii
sau a unei modificări în procesul de înţelegere de către auditor a
structurii sau activităţii auditate;
 în vederea stabilirii naturii, perioadei şi amplorii procedurilor de
audit ulterioare, care răspund riscurilor evaluate de denaturare
semnificativă şi a probelor de audit desfăşurate în vederea evaluării;
 când se ia în considerare, în domeniile în care sunt identificate
riscuri evaluate mai mari, nevoia de a creşte cantitatea probelor de
audit sau obţinerea de probe mai relevante sau credibile, de
exemplu, prin acordarea unei mai mari atenţii obţinerii de probe de
la părţile terţe sau obţinerii de probe coroborative de la un număr de
surse independente;
 atunci când este evaluată credibilitatea datelor pe baza cărora sunt
elaborate estimările auditorului intern şi când sunt identificate şi
investigate fluctuaţii sau relaţii care sunt inconsecvente cu alte
informaţii relevante sau care diferă, cu o sumă semnificativă, în
comparaţie cu valorile estimate;
 atunci când sunt formulate concluzii despre obţinerea unei asigurări
rezonabile şi despre măsura în care au fost obţinute suficiente probe
de audit adecvate pentru a sprijini aceste concluzii. Se iau în
considerare implicaţiile pentru opinie, atunci când auditorul se află
în imposibilitatea de a obţine probele de audit necesare.
2.6.5.3. Relaţia dintre scepticismul profesional şi fraudă

Din cauza caracteristicilor fraudei, inclusiv a faptului că aceasta poate
include scheme sofisticate menite să o ascundă, scepticismul profesional al
auditorului este deosebit de important atunci când se iau în considerare

riscurile de denaturare semnificativă cauzate de fraudă.
Există nevoia de a menţine scepticismul profesional pe toată perioada
auditului, recunoscând posibilitatea existenţei unei denaturări semnificative
cauzate de fraudă, în ciuda experienţei anterioare a auditorului referitoare la
onestitatea şi integritatea persoanelor responsabile cu realizarea sau
conducerea activităţii structurii auditate. Acest principiu prevede, de aseme-
nea, ca auditorul intern să întreprindă investigaţii suplimentare atunci când
condiţiile identificate pe parcursul auditului îl fac pe acesta să creadă că un
document poate să nu fie autentic sau că termenii dintr-un document au fost
modificaţi în vederea realizării unei fraude.
În situaţia în care, cu ocazia verificărilor din cadrul misiunii, auditorii
interni suspectează existenţa unei fraude aceştia vor informa prompt în acest
sens conducerea şi vor întreprinde, în acelaşi timp, următoarele măsuri:
 verifică, analizează şi evaluează cu atenţie sporită faptele constatate
ca indicii de fraudă;
 colectează şi înregistrează informaţii detaliate referitoare la perioada,
data, locul şi circumstanţele apariţiei/producerii faptelor;
 înregistrează toate operaţiunile efectuate în legătură directă cu faptele
constatate pe baza de probe;
 manipulează şi gestionează cu atenţie sporită documentele şi valorile,
având în vedere probabilitatea declanşării unei investigaţii ulterioare;
 extind şi aprofundează verificările asupra unui eşantion mai larg sau
asupra întregii sfere de operaţiuni/stocuri de valori, după caz.
Dacă, în urma analizei şi a evaluării rezultatelor acestor verificări, audi-
torii interni confirmă existenţa unor indicii de fraudă, auditul intern şi condu-
cerea structurii organizatorice responsabile vor informa prompt despre acest
fapt conducerea superioară.
În cadrul procedurilor şi mecanismelor antifraudă se prevede faptul că
auditul intern este un dispozitiv permanent şi independent, având misiunea de
a evalua, în cadrul unei abordări obiective, riguroase şi imparţiale, eficacitatea
sistemului de control intern şi monitorizarea acestuia în vederea asigurării
unei evaluări independente a adecvării politicilor şi procedurilor stabilite şi a
modului în care sunt respectate. Auditul intern vizează ansamblul activităţilor
şi entităţilor, precum şi orice aspect al funcţionării lor, fără nici o restricţie. În
vederea îndeplinirii acestor atribuţii, organul de conducere al organizaţiei
trebuie să se asigure că activitatea de audit intern dispune de mijloace
adecvate, atât calitative, cât şi cantitative.
O responsabilitate importantă pe linia prevenirii şi depistării fraudelor

revine auditului intern, care trebuie să posede cunoştinţe suficiente pentru
identificarea evenimentelor de fraudă, să contribuie la descurajarea şi
prevenirea fraudei prin examinarea şi evaluarea, în cadrul misiunilor de audit,
a eficacităţii funcţiilor de control intern.
2.6.5.4. Evidenţierea aplicării scepticismului profesional

Scepticismul profesional este deseori demonstrat în cadrul diverselor
discuţii purtate de auditor pe parcursul unei misiuni de audit. De exemplu, la
nivelul comunicării auditorului cu persoanele însărcinate cu guvernanţa.
Cu toate acestea, documentaţia de audit rămâne decisivă în evidenţierea
scepticismului profesional, căci furnizează probe că auditul a fost planificat şi
desfăşurat în conformitate cu cerinţele legale şi de reglementare aplicabile. O
astfel de documentaţie îl ajută pe auditor să demonstreze modul în care au fost
abordate raţionamentele semnificative şi aspectele cheie ale auditului, precum
şi modul în care auditorul a evaluat dacă au fost obţinute suficiente probe de
audit adecvate.
2.6.6. Raţionamentul profesional

Raţionamentul profesional reprezintă înlănţuirea logică de judecăţi care
duc la o concluzie, reprezintă argumentele folosite de cineva pentru a-şi
susţine punctul de vedere.
Raţionamentul profesional este esenţial pentru efectuarea unui audit
adecvat. Acest lucru se datorează faptului că interpretarea cerinţelor etice
relevante şi a Standardelor Internaţionale de Audit şi luarea deciziilor necesare
pe parcursul auditului în cunoştinţă de cauză nu se pot realiza fără aplicarea
cunoştinţelor relevante şi experienţei cu privire la fapte şi circumstanţe.
Raţionamentul profesional este necesar în special în legătură cu decizii
legate de:
 riscul de audit;
 natura, momentul şi întinderea procedurilor de audit folosite în
vederea strângerii probelor de audit;
 evaluarea măsurii în care au fost obţinute suficiente probe de audit
adecvate şi a măsurii în care mai trebuie făcut ceva pentru a atinge
obiectivele generale ale auditorului;
 evaluarea raţionamentelor conducerii în vederea atingerii obiectivelor
propuse;
 tragerea de concluzii pe baza probelor de audit obţinute.

Raţionamentul profesional:
 se exercită de către auditor, utilizând pregătirea, cunoştinţele şi
experienţa care l-au asistat în dezvoltarea competenţelor
necesare pentru a obţine judecăţi rezonabile;
 în orice caz particular se exercită bazându-se pe fapte şi
circumstanţe cunoscute de auditor.
2.7. Tipuri de misiuni de audit intern
2.7.1. Prezentare
Practica auditului intern are în vedere două tipuri de misiuni şi
anume: misiuni de asigurare şi misiuni de consiliere.
Standardele Internaţionale de Audit Intern delimitează cerinţele de
conformitate pentru misiunile de asigurare, faţă de cele de consiliere.
Indiferent de tipul misiunii – de asigurare sau de consiliere –

auditorul intern trebuie să fie obiectiv, să respecte principiile
de etică şi standardele de calificare privind responsabilităţile
auditorului intern, în afara funcţiei de audit intern (standard
de referinţă 1112 „Responsabilităţi ale conducătorului
executiv al auditului în afara funcţiei de audit intern”).
2.7.1.1. Misiuni de asigurare

Misiunile de asigurare au ca scop examinarea obiectivă a probelor în
scopul furnizării unei evaluări independente privind modul în care
funcţionează procesele de management al riscurilor, control sau guvernare ale
organizaţiei.
Orice misiune de asigurare trebuie să aibă în vedere formularea unei
opinii independente sau concluzii privind calitatea controlului intern, al
unei operaţiuni sau al unei funcţii, unui proces, unui sistem sau un alt aspect.
Tipul şi sfera de cuprindere a misiunilor de asigurare sunt stabilite de către
auditorul intern.
În general, în misiunile de asigurare sunt implicaţi trei participanţi:
1. persoana sau grupul implicat în mod direct în organizaţie,

operaţiunea, funcţia, procesul, sistemul sau aspectul auditat –
responsabilul pentru proces;
2. persoana sau grupul care realizează evaluarea – auditorul
intern, şi
3. persoana sau grupul care utilizează evaluarea – beneficiarul
misiunii.
2.7.1.2. Misiuni de consiliere

Misiunile de consiliere au un caracter de consultare şi se desfăşoară,
în general, la cererea expresă a beneficiarului misiunii. În literatura de
specialitate ele sunt cunoscute fie ca misiuni de consiliere, fie ca misiuni de
consultanţă. Tipul şi sfera de cuprindere a activităţilor de consiliere sunt
stabilite de comun acord cu beneficiarul misiunii.
În general, în misiunile de consiliere sunt implicaţi doi participanţi:
1. persoana sau grupul care furnizează consilierea – acesta fiind
auditorul intern şi
2. persoana sau grupul care solicită şi beneficiază de consiliere –
acesta fiind beneficiarul misiunii.
Misiunile de consiliere pot fi:
 misiuni de consiliere formale – de regulă, sunt planificate
(incluse în planul anual) conform regulilor de planificare spe-
cifice auditorului intern, iar termenii şi condiţiile sunt convenite
cu solicitantul, în prealabil, printr-un acord scris. Din punct de
vedere procedural, aceste misiuni sunt efectuate, de regulă, ca şi
misiunea de asigurare;
 misiuni de consiliere informale – sunt activităţi sau servicii
de rutină, de tipul:
i. participărilor în grupuri de lucru interdepartamentale, co-
mitete ori alte organisme de acest fel, cu activitate tem-
porară, participărilor în proiecte (pe durata ciclului de viaţă
al proiectului) sau la şedinţe şi întâlniri de lucru ad-hoc;
ii. furnizării de servicii de facilitare şi training în domeniul
controlului intern şi managementului riscurilor;
iii. schimburilor uzuale de informaţii specifice cu alte structuri
organizatorice din cadrul organizaţiei, grupului, industriei
etc.;
 misiuni de consiliere speciale – sunt servicii speciale înde-

plinite de auditul intern în cadrul unor proiecte instituţionale de
anvergură (de ex. consultanţă pentru externalizarea operaţiunilor
sau anterior restructurării proceselor organizaţiei, participarea în
echipe de experţi, constituite pentru conversia de sisteme
operaţionale, IT etc.).
În anumite circumstanţe, în baza analizei cost-beneficiu, auditorul intern
poate decide efectuarea de misiuni de audit mixte, ce încorporează
elemente atât din misiunea de asigurare, cât şi din misiunea de consiliere, într-
o abordare consolidată, unitară.
În alte situaţii, auditorul intern poate aprecia ca adecvată efectuarea de
misiuni, în care să se facă distincţia între componenta „de asigurare” şi
cea „de consiliere”.
2.7.2. Poziţionarea ierarhică a structurii de audit intern în

cadrul organizaţiei
Cu excepţia situaţiilor în care cadrul de reglementare impune o
anumită formă de organizare a activităţii de audit intern (cum este cazul
băncilor sau instituţiilor financiare/non-financiare sau al societăţilor de
asigurare), conducerea superioară poate decide asupra organizării activităţii
de audit intern fie ca structură internă în cadrul organizaţiei (respectiv
compartiment de audit intern), fie externalizarea auditului intern prin
contractarea unui furnizor extern specializat în astfel de servicii.
2.7.2.1. Structura de Audit intern, ca departament intern în cadrul

organizaţiei
Structurarea acestui departament, selectarea coordonatorului precum şi
a membrilor din echipa de audit intern depind în primul rând de respectarea
reglementărilor naţionale în ceea ce priveşte organizarea funcţiei de audit
intern, a Standardelor de Calitate impuse de IPPF, precum şi de experienţa
profesională şi de competenţele celor care vor fi în echipa de audit intern.
Selecţia este un proces dificil şi laborios tocmai datorită criteriilor de
calitate impuse prin standardele internaţionale şi datorită nevoii de a avea
membri în echipă cu competenţe profesionale din multiple domenii (IT,
industrial, financiar, producţie etc).
Din punct de vedere administrativ, structura de audit intern
este subordonată managementului organizaţiei.
În special în cazul în care auditorul intern este angajatul societăţii,

este dificil de susţinut ideea independenţei absolute faţă de organizaţia
care-i plăteşte salariul şi impune condiţiile de desfăşurare a activităţii. Totuşi,
chiar şi în lipsa independenţei absolute, recomandarea este ca structura de
audit intern să fie plasată în organigramă (ca responsabilităţi şi subor-
donare) de o asemenea manieră încât să-i asigure, pe cât posibil,
independenţa organizaţională.
Această independenţă organizaţională este asigurată atunci când
structura de audit intern este subordonată şi răspunde, în ceea ce priveşte
activităţile executate şi rezultatele acestora, direct în faţa comitetului de
audit sau, acolo unde acesta nu există, direct în faţa consiliului de
administraţie, consiliului director sau a altei structuri – într-un cuvânt, în faţa
persoanelor însărcinate cu guvernanţa corporativă.
Independenţa organizaţională a auditorilor interni le permite inclusiv să-
şi desfăşoare angajamentele de evaluare a modului în care organizaţia este
efectiv condusă şi să poată raporta fără restricţii asupra eventualelor
iregularităţi descoperite.
Conform Standardelor „1100 – Independenţă şi Obiectivitate” şi „1110 –
Independenţa organizaţională”, auditorii interni trebuie să raporteze
unei structuri din organizaţie cu rol în supravegherea modului în
care aceasta este condusă.
În fapt, standardul 1110 prevede: „independenţa organizaţio-
nală se atinge în mod efectiv atunci când conducătorul executiv al auditului
raportează, din punct de vedere funcţional, consiliului de administraţie.
Exemplele privind raportarea funcţională către consiliu presupun ca
acesta:
 Să aprobe carta auditului intern;
 Să aprobe planul de audit intern bazat pe riscuri;
 Să aprobe bugetul şi resursele pentru auditul intern;
 Să primească comunicări de la conducătorul executiv al auditului cu
privire la executarea activităţii de audit intern conform planului,
precum şi la alte aspecte;
 Să aprobe deciziile privind numirea şi destituirea conducătorului
executiv al auditului;
 Să aprobe nivelul remuneraţiei conducătorului executiv al auditului;
şi
 Să solicite informaţii adecvate managementului şi conducătorului

executiv al auditului pentru a stabili dacă există îngrădiri privind sfera
de cuprindere a auditului sau limitări ale resurselor alocate.”
2.7.2.2. Colaborarea cu alte departamente din cadrul organizaţiei
auditate
Coordonatorul structurii de audit intern poate, în cazul unei lipse de
personal calificat, să obţină asistenţă de specialitate din partea altor
angajaţi ai organizaţiei, dacă personalul angajat ca auditori interni nu deţine
cunoştinţele, priceperea sau alte competenţe necesare pentru a realiza parţial
sau total misiunea de audit intern sau dacă numărul auditorilor interni este
insuficient.
Este esenţial, totuşi, ca aceştia să deţină cunoştinţe şi abilităţi necesare
pentru desfăşurarea misiunilor de audit intern. În plus, în cazul în care se
apelează temporar la angajaţi interni, să se asigure obiectivitatea şi
independenţa acestora, într-o măsură cât mai mare posibilă.
Angajaţii din alte departamente transferaţi temporar sau implicaţi
în cadrul unei misiuni de audit intern nu vor putea fi desemnaţi să evalueze
procese ce au făcut parte din responsabilităţile lor pe parcursul anului
anterior (respectiv 12 luni de la implicarea în alte activităţi din cadrul
organizaţiei), pentru a evita afectarea obiectivităţii acestora.
Chiar în situaţia îndeplinirii condiţiei prezentate anterior, munca de
natura auditului intern efectuată de angajaţii transferaţi temporar va fi atent
revizuită de coordonatorul structurii de audit intern, în vederea
asigurării calităţii.
2.7.2.3. Externalizarea totală a structurii de audit intern

Din ce în ce mai multe entităţi se văd în postura de a externaliza, total
sau parţial, auditul intern. Decizia de a externaliza trebuie precedată de o
analiză serioasă a avantajelor şi dezavantajelor care însoţesc această alegere.
Pentru anumite organizaţii, externalizarea are beneficii care depăşesc
dezavantajele (specialiştii consideră că entităţile mici şi mijlocii sunt cele mai
câştigate într-o astfel de ipoteză, în special în ceea ce priveşte raportul cost –
beneficii), iar pentru altele poate fi mai eficient să internalizeze funcţia de
audit intern, externalizând poate, doar parţial, anumite misiuni sau apelând la
specialişti în exteriorul organizaţiei doar atunci când este necesar.
Ca avantaje ale externalizării auditului intern către o firmă de audit
sau un auditor financiar persoană fizică independentă, menţionăm:
 Calitatea funcţiei de audit intern este probabil mai bună în

cazul în care o societate apelează la o societate de audit care
prestează servicii de audit intern decât dacă ar avea unul sau doi
salariaţi care ar presta astfel de servicii. Aceasta deoarece se
prezumă că o societate specializată în astfel de servicii investeşte în
calitate şi această calitate este mai bună decât dacă societatea şi-ar
suplini funcţia de audit cu resurse proprii.
 În cazul societăţilor mici şi mijlocii, unde poate un auditor cu
normă întreagă nu şi-ar justifica salariul, poate fi mai ieftin să se
apeleze la externalizare deoarece se pot înregistra economii de
costuri. Printre costurile salvate de organizaţie în cazul externa-
lizării, cele mai importante sunt: costurile salariale şi contribuţiile
sociale (inclusiv pe perioada concediilor), costurile generate de
training-ul auditorului intern, costurile generate de selecţia unui
auditor intern, cele generate eventual de înlocuirea pe perioada
concediului, cele necesare achiziţiei de instrumente specifice
misiunilor sale (cum ar fi anumite softuri necesare desfăşurării
activităţii), costuri administrative (birou, echipamente de calcul etc.)
şi multe altele. Totuşi, în final, comparaţia costurilor salvate trebuie
făcută cu onorariile cerute de auditorul financiar (firma sau
persoana fizică independentă) care ofertează astfel de servicii.
 Independenţa şi obiectivitatea mai crescute. Deşi auditorul
intern trebuie să dea dovadă de obiectivitate şi independenţă
indiferent de maniera de colaborare cu organizaţia auditată, consi-
derăm că în cazul în care acesta nu este salariat, independenţa este
puţin mai crescută.
Similar, obiectivitatea poate fi un pic mai mare decât în cazul audi-
torului intern salariat al societăţii deoarece acesta nu interac-
ţionează pe termen lung cu salariaţii şi managerii organizaţiei.
 Acces mai facil la resurse de calitate. În cazul în care se
apelează la o societate specializată în oferirea de servicii de audit
intern, acea societate ar trebui să aibă resurse de calitate deja
disponibile, cum ar fi: softuri, personal cu experienţă şi pregătire
corespunzătoare, echipamente etc. Uneori, aceste resurse pot fi
foarte costisitoare pentru o societate. În schimb, auditorul intern
care prestează astfel de servicii împarte costurile între mai mulţi
clienţi şi, ca atare, resursele disponibile pot fi de o calitate mai bună.
Practic, se pot accesa cele mai noi tehnologii şi cele mai bune
practici în domeniu care, altfel, fie nu ar fi disponibile, fie nu şi-ar

justifica costurile.
 Acces la resurse diverse. Uneori, auditul intern presupune
cunoştinţe legate de activitatea firmei, dar şi de IT şi de legislaţie şi
de raportare financiară şi alte resurse din domenii diverse. Este greu
pentru o firmă şi poate mult prea costisitor să angajeze atâtea
persoane cu competenţe diverse. Apelând la o firmă specializată,
organizaţia va putea beneficia de toţi aceşti specialişti, în funcţie de
nevoile sale. Ca şi în cazul anterior, organizaţia care prestează astfel
de servicii împarte costurile între mai mulţi clienţi şi aceştia pot
beneficia de resurse la costuri pe care şi le pot permite.
 Se degrevează resursele interne care altfel ar fi utilizate măcar
parţial şi în funcţia de audit. Poate fi cazul specialiştilor IT, dar şi al
celor din alte departamente (cum ar fi cel juridic, spre exemplu).
 Controlul auditorilor interni. În cazul entităţilor cu bune reguli
de guvernanţă corporativă, comitetul de audit este cel ce
monitorizează funcţia de audit intern. În cazul unei firme de audit
care prestează astfel de servicii sau chiar a unui auditor membru al
CAFR, controlul de calitate este efectuat de organismul
profesional, respectiv de CAFR, care prin procedurile aplicate
se asigură că serviciile de audit intern au fost prestate la cea mai
înaltă calitate.
 Timp versus beneficii: Uneori este mai rapid să apelezi la o firmă
de audit care poate începe imediat activitatea decât să pui bazele
unei structuri de audit intern în cadrul organizaţiei.
Ca dezavantaje principale enumerăm:
 În cazul societăţilor mari, raportul cost – beneficii poate fi în
favoarea internalizării funcţiei de audit intern. Cu alte
cuvinte, nevoia organizaţiei poate justifica toate costurile anterior
menţionate: cu salariile şi contribuţiile, cu trainingul auditorilor
interni, cu instrumentele de lucru etc.
 Nimeni nu ar putea cunoaşte mai bine o societate (în
special una complexă) decât salariaţii săi. În cazul serviciilor
externalizate, de regulă prestatorul nu stă permanent la sediul
societăţii auditate, ceea ce poate însemna că are acces mai restrâns
la informaţii specifice organizaţiei auditate. Totuşi, această limitare
a informaţiilor detaliate, specifice clientului poate fi balansată de
experienţa în domeniul auditului intern al specialistului.
 Poate fi dificil să se găsească o societate cu resurse suficiente şi

adecvate, mai ales în cazul societăţilor mari şi complexe.
 Este mai uşor de controlat o funcţie atunci când este
internalizată decât atunci când este externalizată (în special
când este vorba de calitatea serviciilor respective). Pot interveni
chestiuni care ţin de protecţia datelor sau de confidenţialitate,
chestiuni de regulă mai uşor de controlat în cazul funcţiilor
internalizate.
 Disponibilitatea auditorului intern în cazul serviciilor exter-
nalizate este mai mică decât în cazul celui angajat.
 Orice fluctuaţie de personal al firmei de audit care prestează
servicii de audit intern înseamnă pentru organizaţie o perioadă de
discontinuitate în care noii salariaţi vor trebui să adune informaţii
despre activitate, despre procesele societăţii etc.
 Auditorul intern, în cazul serviciilor externalizate, poate găsi mai
dificilă o colaborare şi o comunicare cu salariaţii societăţii,
lovindu-se de reticenţa acestora deoarece nu este la rândul său
salariat.
2.7.2.4. Externalizarea parţială a structurii de audit intern

Uneori, conducerea superioară poate decide să externalizeze parţial
funcţia de audit intern sau chiar să externalizeze anumite investigaţii
sau misiuni. Poate fi cazul unor misiuni speciale, care necesită anumite
competenţe ce lipsesc echipei de auditori interni sau în cazul unor resurse
limitate în cadrul structurii interne create.
Spre exemplu, auditorii interni pot apela la specialiştii organizaţiei din
departamentele IT, dar, atunci când se pune problema efectuării unor misiuni
la aceste departamente, se poate considera oportună apelarea la specialişti din
afara organizaţiei care să ducă la bun sfârşit aceste misiuni.
Un alt exemplu frecvent este cel în care structura de guvernanţă poate
solicita implicarea auditorului intern în verificarea conformităţii unor proiecte,
cum ar fi proceduri interne, aferente unor activităţi noi. În cazul în care prin
aceste responsabilităţi, în afara funcţiei de audit intern, există posibilitatea de
a submina, în fapt sau în aparenţă, independenţa sau obiectivitatea auditorului
intern, este necesar ca structura de guvernanţă să aplice măsuri de protecţie
suplimentare, ca, de pildă, intensificarea activităţii de supraveghere, sau chiar
să externalizeze aceste servicii.
Coordonatorul activităţii de audit intern va utiliza resursele oferite de
posibili furnizori externi de servicii pentru activităţile de audit intern care
necesită competenţe sau cunoştinţe specializate necesare pentru îndeplinirea

planului de audit intern şi a obiectivelor misiunilor de audit intern sau atunci
când resursele disponibile, cum ar fi numărul auditorilor interni angajaţi, sunt
insuficiente pentru îndeplinirea sarcinilor de lucru. Prin resurse oferite de
furnizori ne referim, spre exemplu, la alţi auditori interni, contabili, evaluatori,
specialişti judiciari, avocaţi, specialişti în securitatea datelor, specialişti în
tehnologia informaţiei, auditori externi şi la alţii.
Coordonatorul activităţii de audit intern poartă, de asemenea, responsa-
bilitatea finală pentru selecţia, evaluarea şi contractarea unui furnizor extern
de servicii. Se recomandă însă şi implicarea conducerii superioare (comitet de
audit sau consiliu de administraţie) în supervizarea acestui proces de selecţie,
în vederea menţinerii unui grad de independenţă şi obiectivitate în procesul de
selecţie.
Evaluarea trebuie să aibă în vedere:
 cunoştinţe, aptitudini şi alte competenţe dovedite prin certificări
profesionale sau apartenenţa la organizaţii profesionale relevante;
 competenţa în domeniu;
 reputaţie şi experienţa în domeniu;
 lipsa legăturilor financiare sau personale cu organizaţia care face
obiectul misiunii, pentru a se asigura independenţa şi obiectivitatea;
 existenţa altor servicii oferite organizaţiei care face obiectul misiunii.
Evaluarea furnizorilor externi trebuie documentată în scris şi inclusă în
dosarul de lucru al misiunilor de audit în care sunt utilizaţi furnizori externi de
servicii. De asemenea, conducerea superioară trebuie informată despre acest
demers şi despre procesul de selecţie în sine.
Orice contract privind angajarea de furnizori externi în legătură cu
activitatea de audit intern va fi aprobat de conducerea superioară
adecvată, în funcţie de procedurile organizaţiei.
2.7.2.5. Aspecte necesare de considerat în poziţionarea ierarhică

Menţionăm că externalizarea sau sub-contractarea, integrală sau
parţială, a unui furnizor de servicii de audit intern nu exonerează în nici un
fel organizaţia de obligaţiile pe care le are în ceea ce priveşte crearea unui
cadru organizaţional conform, care să asigure atât funcţionalitatea
auditului intern în mod independent şi obiectiv, precum şi comuni-
carea eficientă, transparentă şi independentă între acest comparti-
ment şi restul structurii organizaţionale.
Este recomandat ca auditorul intern SĂ NU accepte acea

subordonare operaţională care afectează în vreun fel
independenţa, chiar dacă este un furnizor extern de servicii
de audit intern.
Atragem atenţia asupra faptului că implicarea decizională a
coordonatorului activităţii de audit intern în activitatea
comitetului de audit / consiliului de administraţie al organi-
zaţiei pentru care prestează servicii de audit intern conduce la
conflict semnificativ de interese şi, implicit, la prejudicierea
independenţei şi obiectivităţii sale.
Activitatea de audit intern (fie ea internalizată sau externalizată) poate

funcţiona optim doar dacă beneficiază de susţinere din partea
conducerii superioare a organizaţiei, în ceea ce priveşte recunoaşterea
scopului, autorităţii şi responsabilităţilor activităţii de audit intern, conform
Cartei auditului intern.
În sprijinul derulării activităţii de audit intern, conducerea organizaţiei:
 asigură condiţii optime de lucru pentru auditorii interni;
 asigură auditorilor interni acces deplin la toate înregistrările,
documentele, activele şi angajaţii organizaţiei, astfel încât aceştia
să îşi poată duce la îndeplinire responsabilităţile;
 informează în timp util auditorul intern cu privire la identificarea
anumitor arii de risc ce pot determina misiuni speciale de audit
intern;
 comunică eficient cu echipa de audit intern în realizarea misiunii;
 ş.a.m.d.
Orice problemă apărută în procesul de colaborare între conducere
şi structura de audit intern trebuie raportată imediat directorului general (sau
altei persoane cu responsabilităţi similare), precum şi conducerii superioare,
în speţă comitetului de audit intern, dacă acesta există.
2.7.2.6. Colaborarea cu auditorii interni de grup

În contextul actual, în care multe organizaţii din Romania fac parte din
grupuri multinaţionale, este posibil ca funcţia de audit intern să fie deja
organizată la nivelul grupului. Utilizarea compartimentului de audit intern de
la nivel de grup aduce o serie de beneficii locale, mai ales prin prisma
cunoaşterii obiectivelor strategice ale societăţii, cunoaşterea generală a

riscurilor la care este expusă activitatea operaţională, raportul cost-beneficiu
pentru organizaţie, respectarea unor criterii etice interne ş.a.m.d.
Auditorii interni de Grup de cele mai multe ori au calificare internaţio-
nală în acest domeniu şi cel puţin coordonatorii structurii de Grup pot fi
membrii IIA, aducând cu siguranţă un plus de valoare profesională atât
organizaţiei în sine, cât şi mediului economic din România.
Cu toate acestea un departament de audit intern, la nivel de Grup, va
evalua riscurile considerând implicaţiile pentru Grup, ca un tot, şi nu la nivelul
companiei individuale. Este posibil ca mediul de afaceri din România să nu fie
o arie de expertiză a auditorilor interni de grup, ceea ce impune colaborarea cu
auditori interni locali, care cunosc realitatea economică din România.
Un alt aspect important este că angajarea auditorilor de grup în
efectuarea auditului intern în România, fără a respecta cerinţele de organizare
locală şi mai ales prevederile Legii 162/2017, atrage un risc de conformitate cu
legislaţia naţională şi implicit un risc reputaţional pentru organizaţie.
Specificăm faptul că, potrivit cadrului legal aplicabil în România la data
prezentului Ghid, pentru desfăşurarea activităţii de audit intern pentru o
societate înregistrată în România, se impune cerinţa ca „persoanele care sunt
responsabile pentru organizarea activităţii de audit intern, coordonarea
lucrărilor / angajamentelor şi semnarea rapoartelor de audit intern” să aibă
calitatea de auditor financiar activ în România, autorizat de ASPAAS, înscris
ca membru al CAFR şi să fie înregistrat de către ASPAAS în Registrul Public
Electronic (RPE) al auditorilor financiari şi firmelor de audit.
În concluzie, în contextul actual este recomandată colaborarea profesională
dintre auditorul intern local şi cel de grup, care poate aduce cele mai mari
avantaje profesionale ambelor părţi – atât organizaţiei, cât şi auditorului
financiar local implicat în activitatea de audit intern.
Capitolul 3. ACCEPTAREA ŞI PREGĂTIREA

MISIUNILOR DE AUDIT INTERN
3.1. Prezentare succintă a Standardelor

Internaţionale de Audit Intern
În concepţia Normelor obligatorii, activităţile de audit intern trebuie să
răspundă anumitor criterii de calitate (caracteristici, atribute) care să fie
îndeplinite de toţi cei care desfăşoară activităţi de audit intern.
Standardele Internaţionale pentru Practica Profesională a Auditului
Intern sunt clasificate în Standarde de Calificare şi Standarde de
Performanţă şi se aplică tuturor activităţilor de audit intern.
3.1.1. Standardele de Calificare

Standardele de Calificare descriu calităţile pe care trebuie să le îndepli-
nească persoanele fizice şi juridice care desfăşoară activităţi de audit intern.
Standardele de Calificare au următoarea structură:
 Scop, autoritate şi responsabilităţi (Standardul 1000);
 Independenţă şi obiectivitate (Standardul 1100);
 Competenţă şi conştiinciozitate profesională (Standardul 1200);
 Programul de asigurare şi îmbunătăţire a calităţii (Standardul
1300).
3.1.2. Standardele de Performanţă

Standardele de Performanţă descriu activităţile specifice auditului
intern şi asigură criterii calitative pentru evaluarea performanţei acestuia.
Standardele de Performanţă au următoarea structură:
 Coordonarea Activităţii de Audit Intern (Standardul 2000);
 Tipul activităţii (Standardul 2100);
 Programul misiunii (Standardul 2240);
Capitolul 3. Acceptarea şi pregătirea misiunilor de audit intern 57
 Realizarea misiunii (Standardul 2300);

 Comunicarea rezultatelor (Standardul 2400);
 Monitorizarea progresului (Standardul 2500);
 Comunicarea Acceptării Riscurilor (2600).
3.2. Manualul de politici şi proceduri interne

Manualul de politici şi proceduri interne este documentul intern de
organizare care cuprinde procedurile şi criteriile de evaluare a
calităţii activităţii desfăşurate, etapizează, responsabilizează şi îndrumă
activitatea auditului intern, asigurând în acelaşi timp transparenţa necesară
înţelegerii şi aşteptărilor posibile pe care le pot avea conducerea organizaţiei şi
persoanele interesate de la auditorii interni.
O structură minimală a Manualului de politici şi proceduri poate să
cuprindă şi să detalieze următoarele aspecte, conform strategiei de abordare şi
a manierei interne de organizare specifice fiecărui auditor intern:
1. Scopul documentului – faptul că este metodologia internă de lucru
şi care se va revizui periodic, ori de câte ori survin schimbări de
standarde profesionale, recomandări sau nevoi de reorganizare
procedurală;
2. Planificarea activităţii de audit intern;
3. Metodologia de abordare a misiunilor de audit intern:
a. Misiunea de asigurare;
b. Misiunea de consiliere sau consultanţă;
4. Metodologia de comunicare atât internă, cât şi cu conducerea
superioară a organizaţiei auditate;
5. Metodologia de evaluare a personalului din cadrul echipei de audit
intern;
6. Metodologia de colaborare cu alţi experţi sau cu personalul din alte
departamente;
7. Metodologia de asigurare a evaluării calităţii şi îmbunătăţire a
activităţii anuale;
8. Alte prevederi;
9. Anexe – proceduri şi formulare (machete).
Trebuie clarificat faptul că un astfel de manual de organizare

internă diferă foarte mult ca formă şi abordare în funcţie de cum
este organizată structura de audit intern – dacă este internalizată şi
angajaţii sunt salariaţi sau dacă este externalizată şi firma de audit
are propria sa metodologie de abordare.
În practică acest manual este „reţeta” de lucru internă a fiecărei firme şi
a fiecărui compartiment de audit intern; este elementul distinctiv faţă de alţi
auditori interni.
Documentarea într-un manual intern (fie suport hârtie sau electronic)
este benefică şi recomandată de CAFR pentru mai multe motive:
 Permite ca metodologia de lucru să fie mai uşor adusă la
cunoştinţa angajaţilor
 Sprijină în procesul intern de formare profesională a membrilor
echipei de audit intern
 Oferă posibilitatea angajaţilor să înţeleagă şi să caute clarificări
metodologice despre diverse speţe profesionale de tip
comunicare sau abordare, ca tehnică
 Permite standardizarea modalităţii de abordare la clienţii de
audit intern, aducând productivitate în derularea activităţii de
audit intern
 Este un referenţial de calitate în cazul unei evaluări efectuate de
un alt auditor intern sau de un evaluator independent, ca urmare
a recomandării standardului 1300.
3.3. Acceptarea misiunii de audit intern

Reprezintă momentul în care auditorul intern – coordonator şi
responsabil pentru activitatea de audit intern – acceptă asumarea înde-
plinirii cerinţelor IPPF în scopul exercitării unei activităţi de audit
intern în cadrul unei organizaţii. Această activitate solicită experienţă
profesională nu doar în audit intern, ci şi în industria în care funcţionează
organizaţia, presupune responsabilitate şi obligă la asumarea acţiunilor şi a
recomandărilor efectuate.
În vederea contractării unui nou client de audit intern sau

acceptării unui angajament de coordonare a activităţii de audit intern,
auditorul va avea în vedere o serie de aspecte preliminare, ca de pildă:
Aspecte necesare de
luat în considerare Potenţiale întrebări
la contractare
Cunoaşterea - Care este organizaţia care va face obiectul auditului intern
beneficiarului şi care este structura de capital?
- Cine are influenţa semnificativă?
- Cine este beneficiarul real24, conform cerinţelor legislative
pentru combaterea terorismului şi prevenirea spălării
banilor?
- În ce domeniu funcţionează şi cum se derulează activitatea?
- Există suficiente resurse pentru a înţelege acest proces?
Contractarea - Care este natura misiunii? De asigurare sau de consiliere?
activităţii / misiunii - Care este bugetul de timp alocat?
- Care este perioada contractului (cu cât perioada este mai
scurtă (mai puţin de 1 an), cu atât realizarea obiectivelor
este pusă sub semnul unei eficacităţi scăzute)
- Care este bugetul financiar alocat şi ce costuri pot acoperi
resursele?
A existat auditor - Cine a efectuat acest audit şi ce calificări a avut persoana
intern anterior? care a coordonat activitatea anterior?
- Cum a fost organizată activitatea anterioară de audit intern?
- Revizuirea rapoartelor emise anterior de auditorul intern
şi a hotărârilor AGA / Comitet de audit în acest caz.
Posibilitate de - Asigurarea independenţei
efectuare a misiunii - Disponibilitatea conducerii superioare
- Acces la informaţii
- Comunicarea cu structurile auditate
- Stabilirea sistemului de raportare – când, cui şi cum
raportează
Responsabilitatea - Aplicarea cerinţelor IPPF în ceea ce priveşte standardele
coordonatorului de calitate
activităţii de audit - Selectarea membrilor echipei de audit intern – există sufi-
intern cienţi membri în echipa de audit pentru a efectua o astfel de
misiune sau trebuie să efectuez procedura de selecţie
(internă sau externă)? Ce resurse se pot folosi din interiorul
organizaţiei?
- Independenţă – sunt toţi membrii echipei independenţi?
- Obiectivitate – există ameninţări de obiectivitate care pot
afecta bunul mers al misiunii de audit intern?
- Competenţă – membrii echipei au experienţă suficientă şi
adecvată pentru a putea realiza misiunea solicitată?
- Confidenţialitate – există riscuri care pot afecta confiden-
ţialitatea contractuală agreată?
24 Prin „beneficiar real” se înțelege orice persoană fizică ce deține sau controlează în cele
din urmă clientul și/sau persoana fizică în numele căruia/căreia se realizează o tran-
zacție, o operațiune sau o activitate, în conformitate cu reglementările naționale în
vigoare privind prevenirea și combaterea spălării banilor și a finanțării terorismului
(AML/CFT).
În cazul unui auditor intern externalizat, toate aspectele de mai sus

se pot documenta într-un chestionar preliminar, completat în faza de
propunere şi se poate arhiva (fizic/electronic) la dosarul de propuneri clienţi.
Această procedură de cunoaştere este şi în asentimentul legislaţiei curente care
vizează măsurile interne referitoare la cunoaşterea clientului, combaterea
terorismului şi prevenirea spălării banilor.
În cazul unui salariat, astfel de întrebări în cadrul interviului de
angajare pentru poziţia de coordonator al structurii de audit intern îi permit să
stabilească gradul de responsabilitate şi să poată evalua, preliminar, dacă este
confortabil cu decizia acceptului de angajare sau nu.
În oricare din situaţiile mai sus menţionate, responsabilitatea selec-
ţiei auditorului intern de către organizaţie îi revine conducerii superioare,
respectiv comitetului de audit sau consiliului de administraţie, după caz.
Ca atare, în cazul acceptului mandatului respectiv de către ambele părţi,
acest pas trebuie oficializat printr-un contract de acceptare a misiunii.
Pentru un salariat contractul de munca va trebui sa conţină în Anexe clauze
specifice activităţii derulate şi care se supune prevederilor Legii Muncii din
România.
Pentru un auditor intern externalizat, însă, acceptul misiunii reprezintă
în fapt un contract comercial, cu clauze specifice acestei activităţi şi care
este bine să detalieze în clar drepturile şi obligaţiile părţilor.
Contractul de prestare servicii audit intern trebuie să conţină clauze cel
puţin despre:
 Descrierea clară a părţilor şi persoanele responsabile care reprezintă
legal organizaţia în acest contract
 Scopul şi natura misiunii
 Perioada de derulare
 Cadrul general şi legal de derulare a misiunii de audit intern
 Responsabilităţile părţilor implicate
 Tariful auditorului şi maniera de facturare
 Termenele orientative de livrare/comunicare a rapoartelor, în funcţie
de perioadele de implementare ale organizaţiei
 Procedura de acceptanţă a serviciului prestat astfel încât să poată
permite facturarea şi plata în bună regulă a valorii serviciilor prestate
 Limitări ale răspunderii auditorului intern, mai ales în anumite
situaţii în care e posibil să fie misiuni punctuale sau unde nu există un
acces nelimitat la informaţie
 Confidenţialitatea şi răspunderile contractuale derivate din acest

aspect
 Clauze de modificare/reziliere/încetare
 Clauze de forţă majoră
 Semnăturile în original de către persoanele responsabile de contrac-
tarea acestui serviciu
 Datarea contractului în original.
În Anexa 1 la acest Ghid este prezentat un model de contract

prestări servicii, cu caracter general, care se poate particulariza
în funcţie de opinia juridică acordată auditorului intern, dar fără a
denatura materialitatea contractului ca document legal.
3.4. Carta de audit intern (Standardul 1000)

Conform Standardului de Calificare 1000, cadrul legal de organizare
şi desfăşurare a activităţii de audit intern trebuie să se concretizeze
într-un document scris, întocmit/propus de coordonatorul activităţii de
audit intern şi aprobat de conducerea superioară a organizaţiei, sub forma
Cartei auditului intern.
Prin intermediul Cartei se vor defini clar:
 Scopul, în funcţie de natura activităţii;
 Autoritatea auditului intern, inclusiv în ceea ce reprezintă
independenţa şi obiectivitatea misiunii;
 Principalele responsabilităţi ale auditului intern în cadrul
organizaţiei.
Carta auditului intern trebuie să asigure cea mai adecvată formă
oficială de realizare a obiectivelor misiunii, de respectare în totalitate a definiţiei
auditului intern, de aplicare a procedurilor ce se impun în procesul de evaluare a
sistemelor de guvernanţă, management al riscurilor şi control intern.
În susţinerea acestui cadru de referinţă, un rol foarte important îl

deţin capacitatea, experienţa şi abilităţile auditorului intern de
a înţelege şi cunoaşte organizaţia auditată sub cele mai semnificative
aspecte, astfel încât organizarea şi conducerea misiunii de audit intern
sau, după caz, a activităţii de audit intern, să răspundă realizării
scopului şi obiectivelor propuse.
Coordonatorul structurii de audit intern trebuie să se asigure că sunt

elaborate şi revizuite periodic, conform Standardelor Internaţionale de
audit intern, sau ori de câte ori se impune, atât Carta de audit intern, precum
şi Manualul intern de politici şi proceduri.
Ca atare, Carta de audit intern este recomandat să facă obiectul unui
proces continuu de revizuire din partea coordonatorului activităţii de
audit intern, de-a lungul mandatului agreat. Revizuirea se va efectua cel puţin
o dată pe an, iar modificările necesare se vor supune aprobării conducerii
superioare.
O structură minimală a Cartei auditului trebuie să cuprindă şi să

abordeze succint:
1. Obiectivele şi scopul auditului intern;
2. Principiile auditului intern;
3. Tipuri de audit intern şi servicii conexe / speciale;
4. Atribuţii şi responsabilităţi:
a. Atribuţiile şi responsabilităţile auditului intern;
b. Atribuţiile şi responsabilităţile coordonatorului activităţii de
audit intern;
5. Accesul la informaţii şi autoritatea;
6. Organizarea activităţii şi liniile de raportare – independenţa
organizaţională;
7. Asigurarea calităţii;
8. Dispoziţii finale.
Carta de audit trebuie aprobată de către consiliul de admi-

nistraţie sau altă structură de guvernanţă. Neaprobarea Cartei
de Audit Intern de către consiliul de administraţie conduce la
imposibilitatea derulării activităţii de audit intern, în confor-
mitate cu Standardele Internaţionale.
Prevederile din Carta de audit intern se aduc şi la cunoştinţa membrilor

echipei de audit, prin comunicare internă (formală sau informală, în funcţie de
prevederile Manualului de politici şi proceduri interne).
În fapt, obiectivul diseminării în echipă a Cartei de audit reprezintă
înştiinţarea participanţilor la activitatea de audit intern despre cadrul general
de derulare a misiunii, despre orice aspect legat de implementarea şi
modificarea acestuia.
Carta de audit este un document specific fiecărui client de

audit intern şi trebuie arhivată în dosarul general al misiunii
de audit intern, aşa cum este menţionat în CAPITOLUL 5.4.
Anexa 2 prezintă, spre exemplificare, un model de Cartă a auditului

intern.
3.5. Independenţă şi obiectivitate (Standardul 1100)

Activitatea de audit intern trebuie să fie independentă şi auditorii interni
trebuie să dea dovadă de obiectivitate în îndeplinirea responsabilităţilor ce le
revin. Coordonatorul activităţii de audit intern trebuie să raporteze unui
nivel ierarhic din cadrul organizaţiei în scopul îndeplinirii respon-
sabilităţilor stabilite în Carta auditului intern.
Auditorul intern trebuie să aibă o atitudine imparţială, nepărti-
nitoare şi să evite orice conflict de interese. Dacă independenţa sau
obiectivitatea sa sunt prejudiciate în fapt sau în aparenţă, acestea trebuie
aduse la cunoştinţă părţilor relevante.
Mai mult decât atât, acesta trebuie să confirme consiliului de administra-
ţie/consiliului de supraveghere/directorului, în funcţie de tipul organizaţiei şi de
modalitatea în care societatea este administrată, potrivit prevederilor Legii
societăţilor nr. 31/1990, cu modificările şi completările ulterioare, cel puţin
anual, independenţa organizaţională a activităţii de audit intern.
3.6. Declaraţia de respectare a Codului de Etică

Modalitatea de confirmare a respectării Codului de Etică poate varia în
funcţie de maniera de contractare şi acest aspect se poate diferenţia astfel:
Coordonatorul activităţii de audit intern va emite declaraţia
privind respectarea Codului de Etică iniţial la momentul contractării, ca o
confirmare a respectării prevederilor standardului 1100, urmând să o revi-
zuiască periodic, cel puţin odată pe an sau când survin modificări semni-
ficative. În Anexa 3.1. la Ghid este prezentat un astfel de model de Declaraţie.
La nivel intern însă, în cazul în care funcţia de audit intern
este externalizată, coordonatorul echipei de audit intern va face toate
diligenţele să obţină declaraţiile individuale privind respectarea Codului de
Etică din partea tuturor membrilor echipei de audit intern de la angajare
(angajaţi/colaboratori) şi va urmări ca acestea să se actualizeze periodic, cel
puţin anual, sau când survin modificări semnificative (vezi modelul din Anexa
3.2). Obligaţia emiterii acestei declaraţii este inclusiv pentru coordonatorul
activităţii de audit intern.
Schema: Emiterea Declaraţiilor privind respectarea

Codului de Etică
În cazul în care funcţia de audit intern este internalizată,

declararea independenţei este efectuată iniţial la angajare şi este actualizată la
începerea fiecărei misiuni de audit intern sau ori de câte ori survin modificări
în această declaraţie (vezi modelul în Anexa 3.2). Familiaritatea în cadrul unei
organizaţii este o ameninţare mai mare pentru independenţa structurii de
audit intern, în cazul angajaţilor, decât în cazul unui prestator extern de
servicii de audit intern.
Ca atare, este responsabilitatea fiecărui membru din structura de audit
să actualizeze declaraţia sa privind respectarea Codului de Etică şi să
informeze coordonatorul activităţii de audit astfel încât să nu prejudicieze

planificarea echipelor şi bunul mers al misiunilor de audit intern.
Modelele de declaraţii recomandate în acest Ghid sunt orien-
tative, ele putând fi dezvoltate de fiecare firmă de audit sau struc-
tură de audit, în funcţie de Manualul de politici şi proceduri interne
sau cerinţe specifice.
Declaraţiile tuturor angajaţilor, inclusiv cea a coordonatorului activităţii
de audit intern, se păstrează în dosarele de personal/administrative astfel
încât coordonatorului activităţii de audit intern să poată folosi informaţia în
momentul planificării echipelor de audit intern şi pentru propria evidenţă a
monitorizării calităţii activităţii de audit intern.
În concluzie, în Anexa 3 la ghid sunt prezentate, spre exemplificare, trei
modele de declaraţii diferenţiate astfel:
 Anexa 3.1 model de declaraţie privind respectarea Codului de Etică
(emisă de coordonatorul activităţii de audit intern către Consiliul de
administraţie, la începerea activităţii, indiferent dacă este prestator
extern de servicii sau angajat în structura internă a organizaţiei);
 Anexa 3.2 model declaraţie pentru respectarea Codului de Etică
pentru toţi membrii echipei de audit intern, inclusiv coordonatorul
acesteia (document administrativ al structurii de audit intern).
3.7. Universul de audit

Potrivit IIA25, universul de audit reprezintă toate auditurile care pot fi
efectuate într-o organizaţie (atât auditul de conformitate, cât şi auditul
operaţional). El este strâns legat de strategia şi obiectivele de dezvoltare,
precum şi de riscurile la care este expusă organizaţia.
Universul de audit ţine cont atât de mediul în care organizaţia
activează, de obiectivele strategice ale acesteia, precum şi de intenţia
conducerii superioare, care indică, de regulă, schimbări ale obiectivelor
strategice, operaţiunilor, programelor, sistemelor informatice şi de control.
Identificarea universului de audit se află, în teorie, la baza

elaborării planului de audit multianual/anual.
În conformitate cu Standardul de audit intern 2010 – „Planificare”,

coordonatorul structurii de audit intern trebuie să stabilească un plan de
25 IIA – Standardul 2010 – Planificarea.

audit intern bazat pe evaluarea riscurilor, astfel încât să se asigure că

adresează priorităţile activităţii de audit intern, în concordanţă cu obiectivele
organizaţiei.
Pregătirea preliminară a planului de audit intern începe prin consultarea
conducerii superioare organizaţiei şi a consiliului de administraţie pentru o
mai bună înţelegere a strategiilor acestora, a obiectivelor generale, a riscurilor
asociate obiectivelor şi a proceselor de gestionare a riscurilor.
Pentru a se asigura că universul de audit acoperă toate
riscurile-cheie ale organizaţiei (în măsura în care acest lucru este
posibil), activitatea de audit intern verifică în mod independent şi
coroborează riscurile-cheie identificate de conducerea superioară.
Se recomandă ca auditorii interni să delimiteze toate activităţile cheie,

procesele, funcţiile şi controalele ce constituie universul de audit pentru
fiecare organizaţie, în funcţie de complexitatea acesteia şi să înţeleagă
riscurile aferente pentru a putea efectua o evaluare bazată pe riscuri a
fiecărui element din universul de audit.
Această etapă se recomandă să se încheie cu elaborarea unui document
centralizator cu caracter intern, propriu auditorului intern, care conţine
toate elementele componente ale universului de audit şi care este, de
fapt, baza pentru elaborarea planului de audit intern iniţial şi face parte
din documentaţia suport a dosarului de misiune. Acest document diferă
pentru domeniile specializate şi/sau reglementate, cum ar fi domeniul
bancar, de asigurări şi similare etc.
Revizuirea modului de abordare a organizaţiei cu privire la gestionarea

riscurilor poate ajuta coordonatorul activităţii de audit intern să decidă modul
de organizare şi actualizare a universului de audit, care cuprinde toate ariile de
risc care ar putea face obiectul auditului, rezultând o listă a posibilelor misiuni
de audit intern care ar putea fi efectuate.
Coordonatorul structurii de audit intern evaluează procesele interne
de gestionare a riscurilor, luând în considerare dacă în cadrul organizaţiei
există un cadru specific, formalizat, de gestionare a riscurilor (respectiv:
COSO, ISO 31000).
În cazul în care organizaţia utilizează un cadru mai puţin standar-
dizat de gestionare a riscurilor sau în cazul în care aceasta nu utilizează un
cadru de gestionare a riscurilor, coordonatorul structurii de audit intern
procedează la identificarea şi evaluarea riscurilor asociate diferitelor activităţi,
procese, programe/proiecte, cuprinse în universul de audit, în scopul stabilirii

universului de audit şi pregătirii unei liste a posibilelor misiuni de audit care ar
putea fi incluse în planul de audit intern.
Aşadar, stabilirea universului de audit, ca etapă în sine, este

un proces subiectiv, supus raţionamentului profesional al audito-
rului intern. Decizia de a crea un univers de audit intern se bazează adesea
pe viziunea independentă a auditului intern asupra evaluării riscului în cadrul
organizaţiei auditate. Răspunsul la întrebarea dacă universul de audit este
obligatoriu26 se află în standardul 2010 „Planificare” mai sus menţionat, care
arată că planificarea nu provine neapărat dintr-un univers de audit intern, ci
provine cu certitudine dintr-un proces de identificare şi evaluare a riscului la
nivelul întregii întreprinderi.
Ca atare, identificarea universului de audit este necesară şi

benefică pentru o bună planificare, dar nu este obligatorie.
Beneficiile provenind din elaborarea universului de audit intern, anterior

planului de audit intern, sunt numeroase, ca de pildă:
 Un univers de audit intern ajută la asigurarea transparenţei
auditului intern şi a comitetului de audit în ceea ce priveşte
acoperirea riscurilor semnificative şi/sau funcţiilor cheie la un
moment dat. De exemplu, auditul intern poate calcula şi raporta cu
uşurinţă că 100% din ariile auditabile cu risc ridicat au fost sau sunt
planificate să fie auditate în cursul exerciţiului curent/viitor.
 Stabilirea unui univers de audit ajută la sporirea cunoştinţelor şi
competenţelor profesionale ale auditorului intern în ceea ce
priveşte industria respectivă, acesta având ocazia să cunoască şi
o altă abordare, alte strategii de afaceri, controalele existente şi
abordarea riscurilor întâmpinate.
 Conturarea unui univers de audit ajută auditorul intern să înţeleagă
mai bine rolul fiecărui departament în organizaţie, funcţiile din
organigramă şi să poată identifica mai uşor dacă există duplicare de
funcţii, de efort sau nevoie de resurse etc.
26 Vezi articolul publicat de ICAEW “Internal Audit: Understanding the audit universe
and the journey to risk maturity”- Steve Bruce, CA, publicat în 17 aprilie 2018.
 Definirea universului de audit îi poate permite auditorului intern să

vadă ce departamente oferă deja asigurare şi pe care din acestea se
poate baza în procesul său de auditare, oferind şi conducerii
superioare un feedback legat de funcţionalitatea internă.
 Pe baza universului de audit, auditorul intern poate să determine şi
eventual să recomande mai bine necesităţile de personal din anumite
departamente, posibile competenţe noi sau nevoia de noi angajări etc.
Beneficiile par a fi numeroase şi susţin decizia internă a auditorului intern
de a elabora un univers de audit, anterior sau în paralel cu definirea planului de
audit, mai ales atunci când organizaţia în sine are stabilit intern un sistem de
evaluare al riscurilor şi poate sprijini auditorul intern cu informaţii în acest sens.
Procesul însă devine dificil şi laborios în cazul organizaţiilor care nu au
disponibil un astfel de sistem intern de evaluare al riscurilor şi aici se pot
observa cel mai bine dezavantajele etapei de identificare a universului de audit.
Cel mai important dezavantaj în acest proces este timpul. Timpul
limitat al misiunii de audit intern, mai ales în cazul externalizării, nu ne poate
permite de la început să evaluăm în mod realist acest univers şi de aceea
universul de audit este un element care se „dezvoltă” pe parcursul misiunii de
audit intern, odată cu evaluarea anuală de risc. De aceea, el trebuie evaluat şi
reanalizat cu atenţie.
EXEMPLE DE ASPECTE UTILE PENTRU IDENTIFICAREA UNIVERSULUI

DE AUDIT/DOMENIU DE ACTIVITATE
Document de referinţă Elemente de deter-
Includere în
pentru identificarea minare a universului de
universul de audit
universului de audit audit intern
Statutul organizaţiei Cadrul legal aplicabil Conformitate cu cadrul
legal
Acţionariat Subscriere şi mentenanţă
a capitalului social
Management şi contracte de Performanţă managerială

performanţă a executivului
Organigrama Structuri organizatorice Eficienţă funcţională:
costuri vs. obiective
Regulament de organizare Atribuţii funcţionale / Eficienţă operaţională
şi funcţionare a control intern vs. Eficacitate
organizaţiei funcţională
Documente interne de Competenţe, sarcini, Funcţionarea sistemului
decizie şi control atribuţii de control intern
3.8. Planificarea activităţii de audit intern

Activitatea structurii de audit se desfăşoară pe baza unui plan anual de
audit, care este aprobat de conducerea superioară, respectiv comitetul de
audit, acolo unde acesta există, sau consiliul de administraţie/consiliul de
supraveghere/directorat.
Planul de audit intern este elaborat pe baza unei metodologii de eva-
luare a riscurilor, priorităţilor stabilite de către conducerea organizaţiei, iar
frecvenţa angajamentelor de audit intern este determinată în funcţie de
profilul de risc al fiecărei structuri auditabile, precum şi de durata contractuală
agreată în cazul situaţiei de externalizare a acestor servicii.
Toate ariile şi operaţiunile organizaţiei trebuie auditate în cursul unui
ciclu operaţional planificat, respectiv o durata minimă de 3 ani. De
aceea, se recomandă ca durata contractuală să fie de cel puţin 3 ani în cazul
auditului intern, cu posibilitatea de prelungire automată pe o durată similară.
Orice durată contractuală mai scurtă va pune în pericol posibilitatea de a
evalua complet şi corect toate procesele semnificative, precum şi riscurile
aferente lor.
3.8.1. Plan strategic versus Plan anual

Pornind de la cerinţele IPPF conform cărora „toate ariile şi operaţiunile
organizaţiei trebuie auditate în cursul unui ciclu operaţional planificat”,
Planificarea strategică/multianuală trebuie înţeleasă ca un tablou
preliminar, o radiografie a întregii activităţi derulate de către
organizaţia auditată şi etapizarea activităţii de audit intern, prin
elaborarea unui document care să cuprindă, pe un orizont de timp de minim 3
ani, toate funcţiile, procesele, activităţile, obiectivele, programele ş.a.m.d. care
pot fi auditate în cadrul organizaţiei.
Misiunile de audit intern incluse în planul strategic/multianual sunt
definite şi selectate pe baza rezultatelor analizei riscurilor asociate
activităţilor domeniilor auditabile. La elaborarea fiecărui plan strate-
gic/multianual această analiză de risc are scopul prioritizării misiunilor de
audit intern pe orizontul de previziune, astfel încât se stabilesc în primul an
activităţile cu riscurile cele mai mari şi în anii următori activităţile cu
un nivel al riscurilor mediu şi scăzut.
În procesul de planificare a misiunilor de audit intern este importantă şi
analiza în dinamică a fondului total de timp disponibil, astfel încât audi-
torul intern să îşi rezerve timp şi pentru realizarea activităţilor administrative
şi de gestionare a activităţii; timp necesar deplasării la şi de la client,
procesarea şi analiza documentelor, formularea concluziilor, comunicarea cu

clientul.
Planificarea strategică/multianuală este însă una preliminară,
care se efectuează imediat după acceptul misiunii de audit intern,
punând bazele strategiei de abordare a misiunilor de audit intern ulterioare.
Ca atare, această planificare nu este una exhaustivă şi trebuie să fie supusă
revizuirii anuale, în funcţie de rezultatele analizei de risc periodice şi a
misiunilor de audit intern efectuate.
În Anexa 4 este prezentat un model de planificare strategică / multia-
nuală, care va sta la baza primului document supus aprobării conducerii
superioare a organizaţiei auditate. Acest document dă startul misiunilor de
audit intern punctuale ulterioare.
*
Planificarea anuală de audit intern se referă la sumarul misiunilor
de audit intern care sunt planificate pe un orizont mai scurt de timp (de regulă,
se alege ca referinţă închiderea unui exerciţiu financiar) şi care permite o mai
uşoară revizuire şi raportare la final de exerciţiu. În practică, în cazul în care
există o structură de audit intern în cadrul organizaţiei, abordarea se face pe
baza unui plan anual care se stabileşte iniţial la începutul exerciţiului şi asupra
căruia se raportează la finele anului.
În plus, elaborarea unui plan anual restrânge aria de focus a
auditului intern spre zone mai mici şi îi permite concentrarea pe
zonele de risc semnificative.
Ca atare există o relaţie de interdependenţă între cele două concepte
– plan strategic multianual şi plan anual de audit intern – în sensul
că planul strategic etapizează preliminar ce misiuni se pot derula anual, pe
durata contractuală, iar planul anual permite o revizuire şi o restructurare a
strategiei de abordare a auditului intern în funcţie de rezultatele misiunilor de
audit intern efectuate.
Planul strategic este recomandat a fi elaborat pentru a stabili o

ţintă a activităţii de audit intern, în cadrul ciclului operaţional,
iar planul anual este indispensabil derulării curente a
În Anexa 5.1 sunt prezentate două modele ale Planului anual de

audit intern (un model simplificat şi unul mai detaliat), iar în Anexa 5.2 un
model al raportului sau notei de fundamentare pentru conducere.
Referatul sau Nota de fundamentare este un document care ar trebui să

justifice şi să sprijine atât planul strategic, cât şi planul anual propus
conducerii superioare a organizaţiei auditate. Este de fapt modalitatea prin
care auditorul intern îşi detaliază, în faţa conducerii superioare a organizaţiei
auditate, modalitatea de organizare a acestei funcţii, pe o perioadă previzibilă
de timp.
De regulă, Planul de audit este un document supus aprobării conducerii
superioare, fie direct pe document, fie prin hotărârea consiliului de admi-
nistraţie sau a comitetului de audit, după caz.
3.8.2. Etapele elaborării planului de audit

Indiferent că vorbim despre plan strategic sau plan anual,
elaborarea în sine a planificării activităţii de audit intern necesită
parcurgerea următoarelor etape:
1. Analiza informaţiilor preliminare colectate despre orga-
nizaţia auditată (pornind de la documente de societate,
informaţii fiscale, documentaţia internă de control, informaţii din
spaţii publice etc.)
2. Discuţii preliminare cu părţile interesate – pentru a se
asigura faptul că planul activităţii de audit intern se adresează
nevoilor şi intereselor conducătorilor structurilor organizatorice
ale organizaţiei. Auditorul intern poate solicita anual acestora
informaţii referitoare la:
o proiecte semnificative aflate în curs de implementare sau
pe care structura intenţionează să le iniţieze în cursul
anului următor;
o modificări majore care intervin în structura organizaţională
sau la nivel operaţional;
o incidente ori disfuncţionalităţi apărute în activitatea părţi-
lor interesate;
o eventuale solicitări de misiuni (care pot fi de asigurare sau
de consiliere), în scopul întăririi controlului intern sau
clarificării unor probleme specifice de management al
riscurilor, aferente activităţilor din sfera de responsabilitate
specifică, precum şi perioada orientativă optimă pentru
efectuarea acestor misiuni;
o deficienţe identificate de către organe de control sau de
supraveghere sau de către auditorul extern.
Documentarea discuţiilor se poate formaliza prin utilizarea

unui format predefinit (tip chestionar) sau a unui formular care
se poate difuza prin e-mail, în vederea completării şi returnării.
Auditorul intern centralizează şi analizează solicitările şi
informaţiile primite şi include în proiectul de plan de audit
intern eventuale misiuni de audit speciale solicitate, în funcţie
de semnificaţia problemelor semnalate, de resursele umane şi
de bugetul de timp disponibile.
3. Evaluarea riscurilor – auditorul intern revizuieşte/identifică,
actualizează şi evaluează riscurile pentru activităţile cuprinse în
universul de audit. Rezultatele acestei evaluări stabilesc prio-
rităţile în auditare şi obiectivele misiunilor de audit intern
ulterioare, aşa cum se vor detalia iniţial în planul strategic (multi-
anual), şi/sau în planurile ulterioare anuale.
În procesul de evaluare a riscurilor auditorii aplică raţiona-
mentul profesional, utilizând cunoştinţele, experienţa şi infor-
maţiile legate de respectivele activităţi, acumulate în misiunile de
audit anterioare sau puse la dispoziţie de către structura respon-
sabilă cu managementul riscului, dacă aceasta există în cadrul
organizaţiei.
Luând în considerare procesul de control şi management al
riscurilor, organizat şi implementat de organizaţia auditată,
evaluarea riscurilor de către auditorul intern comportă
două abordări diferite, respectiv:
a. În condiţiile în care există un proces de gestionare a
riscurilor, realizat de conducerea organizaţiei, auditul
intern ia în considerare la elaborarea planului de audit
intern nivelul riscurilor stabilite de către organizaţie, după
un proces de analiză şi revizuire;
b. În cazurile în care nu există un proces de gestionare
a riscurilor la nivelul organizaţiei, auditorul intern proce-
dează la identificarea riscurilor pentru fiecare activitate din
cadrul organizaţiei şi apoi procedează la evaluarea acestora
şi la includerea cu prioritate în planul de audit a acelor
activităţi cu riscuri ridicate.
4. Definirea preliminară / Revizuirea universului de
audit27 – presupune identificarea oricăror aspecte care vizează
următoarele:
27 Pentru mai multe detalii, vezi subcapitolul anterior 3.6 „Universul de Audit”.
o viziunea conducerii organizaţiei – Maniera de abor-

dare a universului de audit trebuie să coincidă cu preocu-
pările, aşteptările şi interesele conducerii executive şi ale
consiliului de administraţie faţă de auditul intern;
o strategia pe termen mediu şi lung a organizaţiei –
Structura şi componenţa universului de audit trebuie să fie
stabilite în consecvenţă cu obiectivele strategice ale
organizaţiei şi să reflecte aceste obiective;
o sarcinile şi responsabilităţile structurilor organiza-
torice ale organizaţiei auditate;
o efectuarea analizei activităţilor desfăşurate în cadrul
organizaţiei (activităţi operaţionale specifice, activităţi de
suport etc.);
5. Estimarea resurselor disponibile – coordonatorul activităţii
de audit intern analizează din punct de vedere cantitativ şi
calitativ necesarul de resurse umane, respectiv competenţele
necesare auditorilor interni care participă la diverse misiuni şi
stabileşte bugetul de timp orientativ al tuturor activităţilor
proiectate pentru anul viitor.
6. Elaborarea planului de audit intern – Proiectul planului de
audit se întocmeşte de către coordonatorul activităţii de audit
intern, cu respectarea următoarei structuri:
o o secţiune referitoare la planificarea misiunilor de audit, de
regulă în format tabelar (Anexa 4, Anexa 5.1)
o o secţiune narativă, conţinând baza legală, precum şi
fundamentarea planului propus şi detaliile referitoare la
prioritizarea activităţilor prevăzute în proiectul planului
(Anexa 5.2)
3.8.3. Aprobarea planului de audit intern

De regulă, în penultima şedinţă din an sau prima din anul următor a
conducerii superioare (consiliului de administraţie sau alt organ de admi-
nistrare al organizaţiei) coordonatorul activităţii de audit prezintă
proiectul planului de audit pentru anul următor, spre analiză şi
aprobare.
De asemenea, planul de audit va fi trimis spre informare şi
către structura de management pentru a fi o dovadă că managementul este
informat despre planificarea în sine.
În cazul în care conducerea superioară a organizaţiei formulează

observaţii asupra proiectului planului de audit, coordonatorul activităţii de
audit intern efectuează ajustările necesare şi transmite versiunea finală, spre
aprobare, astfel încât planul să fie operaţional la începutul anului calendaristic
următor.
Pe parcursul anului, coordonatorul activităţii de audit intern poate
modifica planul anual, atât din iniţiativă proprie, în cazul în care deţine
informaţii despre existenţa sau apariţia unor incidente semnificative de
control intern, precum şi la solicitarea expresă a conducerii organizaţiei.
Modificările din cursul anului asupra planului se efectuează cu
respectarea aceloraşi proceduri de informare şi aprobare ca pentru
planul iniţial.
Capitolul 4. IDENTIFICAREA ŞI EVALUAREA

RISCURILOR
4.1. Aspecte preliminare

În cadrul organizaţiei, managementul riscurilor se referă la identi-
ficarea şi evaluarea riscurilor, precum şi la stabilirea modului de a
reacţiona în faţa acestora adică de a pune în aplicare sisteme de control intern
eficiente care să atenueze posibilitatea de apariţie (probabilitatea) sau
consecinţele pe care le-ar produce (impactul) în cazul în care acestea s-ar
materializa.
Managementul riscurilor este definit în Glosarul Standardelor
Internaţionale pentru Practica Profesională a Auditului Intern (Standarde) ca
„un proces de identificare, evaluare, gestionare şi control al potenţialelor
evenimentele sau situaţii pentru a furniza o asigurare rezonabilă cu privire
la îndeplinirea obiectivelor organizaţiei.”
Auditorii interni trebuie să înţeleagă şi să cunoască noţiuni precum:
expunerea la risc, toleranţa la risc, riscul rezidual, apetitul pentru risc al
organizaţiei (nivelul de risc acceptat) şi importanţa gestionării riscului.
Acest capitol îşi propune să explice şi să exemplifice modalitatea de
evaluare a riscurilor identificate în cadrul unei organizaţii, prin mecanisme de
bază, venind în ajutorul membrilor cu un model matriceal în „5 trepte”.
4.2. Definirea riscului
Riscul reprezintă incertitudinea în obţinerea rezultatelor dorite sau

vulnerabilitatea în faţa factorilor care afectează activitatea organizaţiei.
În practică, acesta este exprimat ca o combinaţie între probabilitate şi
impact.
Riscurile trebuie identificate şi evaluate din perspectiva combinaţiei

dintre probabilitatea ca acestea să se întâmple şi impactul lor, respectiv,
consecinţa asupra obiectivului, pe care materializarea respectivei posibilităţi îl
poate avea.
Capitolul 4. Identificarea şi evaluarea riscurilor 77
Riscurile sunt iniţial identificate pornind de la obiectivele organi-

zaţiei (strategice, operaţionale etc.) şi, în cadrul acestora, defalcate pe
activităţi sau operaţii (vânzări, aprovizionare, încasări, plăţi, inves-
tiţii, salarizare etc).
Orice organizaţie se constituie pentru realizarea unor scopuri/
obiective în raport cu care îşi direcţionează activităţile pe care le va desfăşura
în cadrul acesteia.
Obiectivele generale ale unei organizaţii, care îşi desfăşoară activi-
tatea într-un mediu reglementat, vor fi stabilite în conformitate cu legile,
actele normative, regulamentele şi reglementările interne. Obiectivele generale
se descompun în obiective operaţionale, respectiv obiective individuale,
formând un ansamblu coerent de obiective.
Obiectivele operaţionale/specifice (la nivelul fiecărei activităţi)
trebuie exprimate prin indicatori de rezultate, pentru a putea fi monitorizate.
Din această cauză, obiectivele sunt denumite în mod curent şi „rezultate
aşteptate”.
Oricare ar fi organizaţia, atingerea obiectivelor stabilite sau obţinerea
rezultatelor aşteptate este grevată de incertitudine, care poate deveni o
barieră în atingerea obiectivelor.
Gestionarea riscurilor înseamnă identificarea şi evaluarea
riscurilor, precum şi stabilirea modului în care organizaţia reacţionează în faţa
riscurilor – cu alte cuvinte aplicarea de mijloace de control intern care să
atenueze posibilitatea de apariţie sau consecinţele pe care le-ar produce
potenţialele riscuri în cazul în care s-ar materializa.
Fiecare organizaţie trebuie să ia măsurile necesare gestionării riscurilor
până la un nivel considerat acceptabil – respectiv să implementeze un
sistem de control intern. Acest nivel este numit toleranţa la risc (sau
apetitul pentru risc).
Trebuie făcută diferenţierea între riscul inerent şi riscul rezidual:
1. Riscul inerent este riscul specific ce ţine de realizarea obiec-
tivului, fără a se interveni prin măsuri de atenuare a riscurilor
(controlul intern); Evaluarea riscurilor inerente identificate de
organizaţie se poate documenta sub forma tabelară prezentată în
tabelul 3, Anexa 16 din prezentul Ghid.
2. Riscul rezidual este riscul care rămâne după ce s-au pus în
operă măsurile de atenuare a riscurilor inerente sau, cu alte
cuvinte, riscurile remanente controlului intern. Riscul
rezidual este consecinţa faptului că riscurile inerente nu pot fi

controlate în totalitate.
Prin aplicarea unor sisteme de control intern eficiente riscurile inerente
sunt diminuate până când riscul rezidual (riscul rămas după punerea în
aplicare a formelor de control) se încadrează în nivelul de risc acceptat
de organizaţie (apetitul la risc).
4.3. Conceptul de management al riscurilor

Managementul riscului la nivel de organizaţie este un proces
continuu, structurat în cadrul acesteia, permiţând astfel identificarea,
evaluarea şi raportarea oportunităţilor şi ameninţărilor care aduc atingere
obiectivelor sale.
În cadrul organizaţiei, prin implementarea unui sistem de control intern
eficient, conducerea întreprinde activităţi de gestionare a riscurilor pentru a
identifica, evalua şi a ţine sub control toate tipurile de situaţii care pot avea
impact negativ asupra organizaţiei.
Managementul riscurilor este un proces aflat în responsabilitatea
conducerii organizaţiei, constând în:
 definirea strategiei ce trebuie aplicată;
 identificarea şi evaluarea riscurilor ce pot afecta organizaţia
şi activităţile ce se desfăşoară în cadrul acesteia;
 monitorizarea/controlul riscurilor astfel încât acestea să se
încadreze în limitele toleranţei la risc; monitorizarea, revi-
zuirea şi raportarea continuă a situaţiei riscurilor, beneficiindu-se
de experienţa acumulată (proces de învăţare), pentru a se obţine o
asigurare rezonabilă cu privire la realizarea obiectivelor orga-
nizaţiei.
Rolul conducerii organizaţiei în derularea acestei activităţi este
esenţial. Având o viziune de ansamblu a activităţii organizaţiei, percepe mai
bine riscurile generale şi intercondiţionările dintre riscurile individuale.
Rolul activităţii de audit intern este de a evalua eficacitatea proceselor de
management al riscurilor din cadrul organizaţiei şi să contribuie la îmbună-
tăţirea acestora.
Conform standardului 2120 – Managementul riscurilor, activitatea de
audit intern trebuie să evalueze eficacitatea şi să contribuie la îmbunătăţirea
proceselor de management al riscului.
Astfel, auditorii interni trebuie să înţeleagă şi să cunoască noţiu-

nea de risc, principalele riscuri la care este expusă organizaţia auditată,
apetitul pentru risc al organizaţiei (nivelul de risc acceptat), precum şi
importanţa gestionării riscului.
Controlul riscurilor înseamnă că la nivelul organizaţiei este posibilă
reducerea probabilităţii şi/sau atenuarea impactului în cazul în care riscul s-ar
materializa sau a amândurora.
În caz contrar, riscurile sunt necontrolabile dacă organizaţia nu are
posibilitatea de a interveni direct pentru reducerea probabilităţii şi/sau
atenuarea impactului.
Stabilirea faptului că procesele de management al riscului sunt
eficace se face în baza raţionamentului profesional şi a evaluării auditorului
intern cu privire la următoarele aspecte:
a) Obiectivele organizaţionale sprijină misiunea organizaţiei şi sunt
corelate cu aceasta;
b) Riscurile semnificative sunt identificate şi evaluate;
c) Sunt selectate răspunsurile adecvate la risc, care pun în
concordanţă riscurile cu apetitul organizaţiei la risc; şi
d) Informaţiile relevante cu privire la riscuri sunt colectate şi co-
municate în timp util în cadrul organizaţiei, permiţând perso-
nalului, managementului şi conducerii superioare să-şi îndeplinească
responsabilităţile.
4.4. Detectarea riscurilor de către

auditorul intern
Identificarea riscurilor de către auditorul intern constituie primul

pas în crearea profilului de risc al organizaţiei auditate. Riscurile
trebuie identificate în raport cu obiectivele a căror realizare este afectată
de materializarea lor.
Un sistem de obiective coerent constituie premisa pentru identi-

ficarea şi definirea riscurilor. Un risc nu trebuie identificat în raport cu un
singur obiectiv, el poate fi semnificativ pentru mai multe obiective ale
organizaţiei, iar impactul său poate varia în funcţie de fiecare obiectiv în parte.
Astfel, se pot lua măsuri de diminuare a riscului în raport cu sistemul de
obiective asupra cărora are consecinţe.
Pentru un management eficace al riscurilor, identificarea riscurilor

trebuie să capete un caracter permanent. Identificarea continuă a
riscurilor este condiţia necesară racordării la schimbare.
În practică, organizaţiile care au un sistem de management al riscurilor
implementat vor avea şi un Registru al Riscurilor sau un Centra-
lizator care permite corelarea dintre obiectivele specifice, activităţile
corespunzătoare şi riscurile asociate acestora, acţiunile întreprinse, evaluarea
expunerii la risc, riscul rezidual etc (vezi tabelul 1 din Anexa 16).
Aceste detalii derivă din Matricea de Risc a Organizaţiei auditate.
Revizuirea modului de abordare de către organizaţie a gestio-
nării riscurilor ajută coordonatorul auditului intern să decidă asupra modului
de organizare şi actualizare a universului de audit, care cuprinde toate ariile de
risc care ar putea face obiectul auditului intern, rezultând astfel o listă a
posibilelor misiuni de audit de efectuate (planul strategic/multianual).
În cazul în care organizaţia utilizează un cadru mai puţin formal de
gestionare a riscurilor sau în cazul în care aceasta nu are implementat
managementul riscurilor sau nu utilizează un cadru formal de gestionare a
riscurilor, coordonatorul activităţii de audit intern aplică proceduri
proprii pentru identificarea şi evaluarea riscurilor asociate diferitelor
activităţi, procese, programe/proiecte, în scopul stabilirii unei liste a posi-
bilelor misiuni de audit care ar putea fi incluse în planul strategic/anual.
În activitatea sa de evaluare a sistemului intern de management al
riscurilor din cadrul organizaţiei, coordonatorul activităţii de audit intern
poate utiliza instrumente cum ar fi interviuri, sondaje, întâlniri
pentru a colecta informaţii despre posibilele riscuri generate la diferite niveluri
în cadrul organizaţiei, atât de la structurile interne, cât şi de la consiliul de
administraţie şi de la alte părţi interesate.
În procesul de analiză a riscurilor identificate, auditorul le poate grupa
pe categorii de riscuri pentru o abordare unitară. Ca, de exemplu:
a. riscuri de organizare (riscuri determinate de organizarea
necorespunzătoare a structurii organizatorice şi de personal);
b. riscuri operaţionale (riscuri aferente afacerii);
c. riscuri financiare (riscul determinat de structura costului,
riscul îndatorării, risc schimb valutar, risc rata dobânzii);
d. riscuri generate de schimbări – schimbări legislative,
economice, operative generate de industrie (ex. schimbare
legislaţie producţie, legislaţie poluare) etc.
Pentru documentarea evaluării riscurilor detectate şi ale celor care

se vor include în planul de audit intern, auditorul intern va folosi Anexa
5.3, care este un document de bază în procesul planificării activităţii de audit
intern.
4.5. Evaluarea riscurilor

Evaluarea riscurilor presupune evaluarea probabilităţii (P) de
materializare a riscurilor şi a impactului (I) (consecinţelor) asupra obiecti-
velor în cazul în care acestea se materializează.
Combinaţia dintre nivelul estimat al probabilităţii şi nivelul estimat al
impactului constituie expunerea la risc (E), în baza căreia se realizează
profilul riscurilor.
Scopul evaluării riscurilor este de a stabili o ierarhie a riscurilor
unei organizaţii care, în funcţie de tolerabilitatea la risc, permite stabilirea
celor mai adecvate modalităţi de tratare şi gestionare a riscurilor.
Evaluarea preliminară a riscurilor constă în parcurgerea următoa-
relor etape:
a. Evaluarea probabilităţii de apariţie a riscului – reprezintă
determinarea şanselor de apariţie a unui rezultat specific.
Probabilitatea este o măsură a incertitudinii.
b. Evaluarea impactului – stabileşte care sunt consecinţele asupra
obiectivelor urmărite dacă riscurile s-ar materializa /produce.
c. Evaluarea expunerii la risc – reprezintă combinaţia dintre
probabilitate şi impact, pe care o poate resimţi o organizaţie în
raport cu obiectivele prestabilite, în cazul în care riscul s-ar
materializa.
În aceste condiţii, expunerea la risc se calculează după formula:
E = P x I
unde:
- E este expunerea la risc;
- P este probabilitatea de apariţie a riscului;
- I este impactul asupra obiectivelor, dacă riscul s-ar materializa.
Expunerea la risc este direct proporţională cu fiecare termen al

produsului care îl generează, respectiv atât cu probabilitatea de apariţie a
riscului, cât şi cu impactul acestuia asupra activităţii la care se referă.
Este evident că un risc cu expunerea mare (probabilitate de apariţie
ridicată şi impact ridicat în cazul materializării) nu este echivalent cu un risc
căruia i se asociază expunerea mică (probabilitate de apariţie scăzută,
impactul scăzut în cazul materializării).
Gruparea riscurilor identificate într-o organizaţie în funcţie de expu-
nerea la risc conduce la realizarea profilului de risc al organizaţiei.
Evaluarea riscurilor trebuie:
 să se bazeze pe utilizarea unei scale de evaluare relevantă
şi consecventă (de exemplu, în 3 sau în 5 trepte);
 să aibă în vedere toate activităţile care sunt afectate de riscul
respectiv;
 să facă distincţia între expunerea la risc şi toleranţa la
risc.
Pentru a evalua şi cuantifica riscurile asociate diferitelor activităţi/ac-
ţiuni şi deci implicit de a aprecia probabilitatea de apariţie a riscurilor şi
impactul pe care acestea îl pot avea asupra obiectivelor organizaţiei, în cazul
materializării lor, coordonatorul structurii de audit intern va stabili un set de
criterii de apreciere/analiză a acestora, astfel încât toate componentele –
elementele cuprinse în universul de audit să poată fi auditate într-un interval
minim de trei ani.
Criteriile privind aprecierea/analiza riscurilor pot fi:
a) Pentru aprecierea probabilităţii – element calitativ, ce evaluează
posibilitatea de apariţie a riscurilor şi care se poate exprima pe o scală valorică,
pe 3 sau mai multe niveluri. De exemplu: stabilitatea cadrului normativ,
complexitatea şi periodicitatea operaţiilor, calitatea personalului
(experienţă, grad de ocupare, vechime), fluctuaţie de personal,
performanţa tehnologică etc.
Astfel, pentru o:
 Probabilitate scăzută – nivel 1: Cadrul legislativ nu a suferit
modificări în ultimii 3 ani, activităţile au un nivel redus de
complexitate, personalul are experienţă de cel puţin 3 ani, gradul de
ocupare cu personal este ridicat, riscul nu a suportat modificări de la
ultima misiune de audit.
 Probabilitate medie – nivel 2: Cadrul legislativ a suportat mici

modificări în ultimii 3 ani, activităţile au un nivel mediu de
complexitate, personalul are experienţă de cel puţin 1 an, gradul de
ocupare cu personal este mediu, riscul a suportat modificări mici de
la ultima misiune de audit.
 Probabilitate mare – nivel 3: Cadrul legislativ a fost modificat
des în ultimii 3 ani, activităţile au un nivel ridicat de complexitate,
personalul nu are experienţă, gradul de ocupare cu personal este
scăzut, riscul a suportat modificări majore de la ultima misiune de
audit.
În practică, fiecare organizaţie care are un sistem propriu de

evaluare a riscurilor va identifica şi stabili criteriile specifice de
evaluare a probabilităţii de apariţie a riscurilor în funcţie de speci-
ficul şi complexitatea activităţii sale.
Auditorul intern va evalua gradul de relevanţă a criteriilor stabilite de
organizaţie şi va decide dacă se poate baza pe acest sistem de evaluare în
planificarea activităţii de audit intern.
b) Pentru aprecierea impactului – element cantitativ, care se

realizează prin evaluarea efectelor riscului în cazul în care acesta s-ar produce
şi se poate exprima pe o scală valorică pe 3 niveluri, astfel: impact scăzut,
impact moderat şi impact ridicat. De exemplu, pot fi utilizate următoarele
criterii: pierderi de active, costuri de funcţionare, întreruperea
activităţilor, imaginea organizaţiei etc.
Astfel, pentru un:
 Impact scăzut – nivel 1: Nu există pierderi de active (materiale,
financiare, umane), afectarea imaginii organizaţiei este redusă,
costurile de funcţionare nu sunt afectate, calitatea serviciilor
furnizate nu este afectată, nu există întreruperi în activitatea
curentă.
 Impact moderat – nivel 2: Pierderile de active (financiare,
materiale, umane) sunt reduse, afectarea imaginii organizaţiei este
moderată, creşterea costurilor de funcţionare este moderată,
calitatea serviciilor furnizate este afectată în mică măsură, există
mici întreruperi în activitate etc.
 Impact ridicat – nivel 3: Pierderi semnificative de active
(financiare, material, umane), imaginea organizaţiei este afectată
în mod semnificativ, costuri ridicate de funcţionare, calitatea servi-

ciilor furnizate este afectată semnificativ, întreruperi semnificative
în activitate etc.
În practică, fiecare organizaţie, în funcţie de specificul şi complexitatea

activităţii, va identifica şi stabili criteriile specifice pe baza cărora
se va aprecia impactul asupra obiectivelor în cazul în care riscul se
materializează.
Auditorul intern va evalua gradul de relevanţă a criteriilor stabilite de
organizaţie şi va decide dacă se poate baza pe acest sistem de evaluare în
planificarea activităţii de audit intern.
4.6. Matricea de risc a organizaţiei

La nivelul organizaţiei este recomandat să se pregătească o matrice a
riscurilor. Matricea riscurilor este un instrument folosit pentru a repre-
zenta grafic scorurile agregate ale impactului şi probabilităţii.
Nu este responsabilitatea auditorului intern să întocmească o
astfel de matrice pentru organizaţie, dar el va analiza riscurile identificate şi le
va lua în considerare (în funcţie de probabilitate şi impactul aşteptat) atunci
când îşi face planificarea misiunilor – respectiv în planul de audit intern.
În schimb, este obligatoriu pentru coordonatorul activităţii de audit

intern ca în pregătirea planului de audit intern să revizuiască rezultatele
evaluărilor de risc efectuate de conducerea organizaţiei sau să elaboreze
evaluarea independent, astfel încât să existe o bază solidă, justificată, a
planului strategic de audit intern şi a abordării decise.
O matrice de evaluare a expunerii la risc (în “3 trepte” sau “5 trepte”)

este una bidimensională sau, cu alte cuvinte, de tip matriceal.
 Liniile matricei descriu variaţia impactului,
 Coloanele matricei descriu variaţia probabilităţii,
 Intersecţia liniilor de probabilitate şi a coloanelor de impact
delimitează intervalul în care se va încadra gradul de expunere la risc.
Evaluarea probabilităţii
Nivel probabilitate Explicaţie

1 Este puţin probabil să se întâmple pe o perioadă lungă de
Scăzută
timp (3 ani); s-a întâmplat de foarte puţine ori până în
prezent
2 Este probabil să se întâmple pe o perioadă medie de timp
Medie
(1- 3 ani); s-a întâmplat de câteva ori în ultimii 3 ani
3 Este probabil să se întâmple pe o perioadă scurtă de timp
Ridicată
(< 1 an); s-a întâmplat de câteva ori în ultimul an
Evaluarea impactului
Nivel probabilitate Explicaţie

1 Cu impact scăzut asupra activităţilor structurii/
Scăzut
compartimentului şi îndeplinirii obiectivelor şi/sau cu
impact financiar foarte scăzut
2 Cu impact mediu asupra activităţilor structurii/
Moderat
impact financiar mediu
3 Cu impact major asupra activităţilor structurii/
Ridicat
impact financiar major
Matricea grafică de mai sus pune în evidenţă faptul că expunerea la risc

operează ca o ierarhizare a riscurilor. În fapt, în exemplul de mai sus,
gradul de expunere poate fi scalat astfel:
Grad de expunere mic Verde 1-2
Grad de expunere mediu Galben 3-4
Grad de expunere mare Roşu 5-9
Scorurile folosite în evaluarea matricei de risc trebuie să fie detaliate şi

explicate în metodologia de audit intern, astfel încât membrii echipei să
ştie cum să decidă asupra scorului în sine.
Ierarhizarea riscurilor – se realizează pe baza punctajelor totale

obţinute din evaluarea riscului – expunerilor la risc, iar activităţile/acţiunile
auditabile se pot împărţi în:
 activităţi/acţiuni cu risc mic, pentru E = 1 sau 2;
 activităţi/acţiuni cu risc mediu, pentru E = 3 sau 4;
 activităţi/acţiuni cu risc mare, pentru E = 6 sau 9.
Stabilirea nivelului de toleranţă

Toleranţa la risc reprezintă „cantitatea” de risc pe care o orga-
nizaţie este pregătită să o tolereze sau la care este dispusă să se expună la un
moment dat.
În raport cu expunerea la risc, toleranţa la risc poate fi definită pe
următoarele niveluri:
Nivel de tolerare la
Explicaţii
riscuri
1–2 Tolerabil Nu necesită măsuri de control
3–4 Tolerare scăzută Necesită măsuri de control pe termen mediu/scurt
6–9 Intolerabil Necesită măsuri de control urgente
Expunerea la risc (ca o combinaţie dintre probabilitate şi impact),

determinată prin metodele de evaluare arătate anterior, capătă sens numai în
raport cu nivelul toleranţei la risc.
Când expunerea la risc este comparată cu toleranţa la risc, amploa-
rea măsurilor de control al riscurilor ce trebuie luate devine evidentă.
Dacă expunerea la riscul inerent (riscul înainte de aplicarea
măsurilor de control intern al riscurilor) este mai mică sau egală cu
toleranţa la risc definită de manageri nu se impun măsuri de control al
riscurilor, ceea ce înseamnă că riscurile sunt acceptate.
În caz contrar, sunt necesare măsuri de control al riscurilor, astfel încât
expunerea la riscul rezidual (riscul care rămâne după aplicarea măsurilor
de control al riscurilor) să se încadreze în limitele de toleranţă la risc
stabilite.
4.7. Strategii de răspuns la risc ale organizaţiei

În cadrul acestei etape, după ce riscurile au fost identificate şi
evaluate de către auditorul intern şi după ce s-au definit limitele de toleranţă,
organizaţia evaluează şi decide tipul de răspuns la risc pentru fiecare
risc în parte (respectiv reacţia organizaţiei faţă de riscurile iden-
tificate).
Auditorul intern va evalua strategia de abordare a riscului pentru a
înţelege strategia acesteia în gestionarea riscurilor şi a întregii activităţi.
Strategia de răspuns sau, altfel spus, modalitatea în care o organi-

zaţie decide să reacţioneze în cazul unui risc 28 poate fi:
 Transferarea (externalizarea) riscului;

T.A.R.E.
 Acceptarea riscului (tolerarea);
 Reducerea (atenuarea) riscului;
 Evitarea riscului.
4.7.1. Transferarea (externalizarea) riscurilor

Această strategie de răspuns la risc constă în încredinţarea gestionării
riscului unui terţ care are expertiza necesară gestionării acelui risc, încheindu-
se în acest scop un contract. Prin aceasta se urmăreşte, pe de o parte,
micşorarea expunerii organizaţiei, iar, pe de altă parte, gestionarea eficace a
riscului de către un terţ specializat.
Această opţiune este benefică mai ales în cazul riscurilor financiare şi
patrimoniale.
Cel mai cunoscut exemplu de transfer al riscurilor îl constituie contrac-
tele de asigurare.
4.7.2. Acceptarea (tolerarea) riscurilor

Acest tip de răspuns la risc constă în neluarea unor măsuri de control al
riscurilor şi este adecvat pentru riscurile inerente a căror expunere este mai
mică decât toleranţa la risc.
Acceptarea (tolerarea) riscurilor este o strategie de răspuns la risc reco-
mandată pentru riscurile cu expunere scăzută. În cazul riscurilor cu
expunere medie sau mare acceptarea riscurilor este inadecvată şi, de aceea, în
astfel de situaţii, opţiunea trebuie temeinic justificată.
4.7.3. Reducerea (atenuarea) riscurilor

Acest tip de acţiune la risc caută să limiteze expunerea la risc sau să
diminueze impactul efectelor adverse, în cazul producerii riscului anticipat.
28 Vezi publicațiile emise de Editura CECCAR 2019 pe tema Guvernanța corporativă și

managementul riscurilor. În literatura de specialitate, terminologia se regăsește sub
acronimul S.A.R.A. (Share, Avoid, Reduce, Accept).
4.7.4. Evitarea (ocolirea) riscurilor

Această strategie de răspuns la risc constă în ocolirea/evitarea activi-
tăţilor (circumstanţelor) care generează riscurile.
În cazuri în care posibilitatea de ocolire a riscului este redusă, acest tip
de acţiune poate duce la închiderea organizaţiei sau la sistarea activităţii care
ridică acest risc.
4.8. Revizuirea şi raportarea riscurilor

Revizuirea şi raportarea riscurilor este faza ce încheie ciclul compus
din identificarea, evaluarea, controlul, revizuirea şi raportarea riscurilor.
Revizuirea riscurilor analizează dacă:
 riscurile persistă;
 au apărut riscuri noi;
 impactul şi probabilitatea riscurilor au suferit modificări;
 instrumentele de control intern puse în operă sunt eficace;
 anumite riscuri trebuie escaladate la nivele de management
superioare etc.
Revizuirea trebuie să se facă cu o frecvenţă periodică, cel puţin anual, în
raport cu natura instrumentelor de control ce urmează a se implementa.
Rezultatele revizuirilor trebuie raportate pentru:
 a se asigura monitorizarea continuă a situaţiei riscurilor şi
 pentru a se sesiza schimbările majore care impun modificarea
priorităţilor.
În cazul în care organizaţia dispune de un sistem intern de management al
riscurilor, acest pas este obligatoriu să fie efectuat de organizaţie, pentru o buna
funcţionare. Coordonatorul de audit intern va evalua toţi paşii incluşi în sistemul
de management al riscurilor pentru a se asigura de eficienţa şi eficacitatea sa.
În cazul în care însă organizaţia nu dispune de un astfel de sistem, audi-
torul intern va efectua periodic şi sistematic o evaluare a riscurilor şi va
monitoriza măsurile luate de conducerea superioară în ceea ce priveşte
acţiunile incluse în planul de acţiune, ca urmare a măsurilor propuse.
4.9. Model practic de întocmire a matricei de risc

(în 5 trepte)
În cele ce urmează vom exemplifica o matrice de evaluare a nivelului
final de expunere la risc în „5 trepte”, puţin mai complexă faţă de cea teoretică
prezentată anterior în subcapitolul 4.6.
În fapt diferă maniera de considerare a expunerii la risc – în loc de 3
grade de comparaţie, aşa cum este modelul în „3 trepte” din subcapitolul 4.6,
se pot decide asupra a „5 trepte” de expunere.
Astfel, evaluarea universului de audit este mai detaliată şi planificarea
activităţii de audit intern permite o mai bună cunoaştere a organizaţiei.
Atragem atenţia că nivelul scorurilor expuse în modelul care
urmează sunt stabilite aleatoriu, doar în scop didactic.
Astfel, pentru completarea matricei se parcurg următorii paşi:
1. Primul pas este enumerarea fiecărui risc identificat în pro-
cesul preliminar de evaluare a riscurilor de către coordonatorul
activităţii de audit intern (se poate folosi informaţia din tabelul 1 din
Anexa 16 întocmită de Client sau se va documenta ca în tabelul 2 din
Anexa 16).
În practică, auditorul deschide o fişă de analiză riscuri.
Pentru scopul parcurgerii mai uşoare, vom detalia în acest capitol
aspectele minimale necesare de urmărit.
Gradul Nivelul
Riscul Grad de de evalu- corectat
Probabilitatea
asociat Impactul expunere al are a al expu-
Nr. de apariţie
obiecti- riscului controlu- nerii la
crt.
velor lui intern risc
specifice29 Proba- Scor Im- Scor Expu- Scor Califi- Califi-
bilitate pact nere cativ cativ
(P) (1) (I) (2) (E) (3=1*2) (4) (5=3*4)
1.
2.
3.
2. Stabilirea nivelurilor de evaluare a probabilităţii de apariţie a

riscului (de exemplu: foarte mare, mare, medie, mică, foarte mică)
29 Riscurile specifice care se preiau în această matrice sunt cele incluse în Analiza
Riscurilor, conform Anexa 8, de către auditorul intern.
3. Alocarea unui scor valoric aferent probabilităţii de apariţie potrivit

metodologiei proprii a auditorului intern (de exemplu: de la 1 la 10)
Exemplu de calcul al scorului pentru probabilitate
Probabilitatea de apariţie Scor

Mică – evenimentul poate apărea din când în când 0-3
Medie – evenimentul are probabilitate semnificativă de apariţie 4-7
Mare – eveniment cu probabilitate mare de apariţie 8-10
4. Stabilirea nivelurilor de evaluare a impactului riscului asupra

organizaţiei (de exemplu: semnificativ, rezonabil, nesemnificativ)
5. Alocarea unui scor valoric aferent impactului, potrivit meto-
dologiei proprii a auditorului intern (de exemplu: de la 1 la 10)
Exemplu de calcul al scorului pentru impact
Impact Scor
Nesemnificativ – evenimentul poate apărea foarte rar 0-3
Rezonabil – evenimentul poate apărea din când în când 4-7
Semnificativ – evenimentul are probabilitate semnificativă de 8-10
apariţie
6. Stabilirea gradului de expunere la risc, ca produs dintre scoru-

rile alocate pentru probabilitatea de apariţie a riscului şi impactul
estimat.
În funcţie de acest grad valoric se stabileşte şi nivelul gradului de
expunere la risc (de exemplu: sistemul „5 trepte” – foarte mare,
mare, mediu, mic, neglijabil; sistemul „3 trepte” – mare, mediu, mic)
Exemplu de calcul al gradului de expunere la risc
Gradul de Expunere la Risc Scor

Neglijabil 0-9
Mic 10-30
Mediu 31-60
Mare 61-80
Foarte mare 81-100
7. În practică, gradul de expunere la risc estimat la punctul 6 de mai

sus se ajustează cu factorul de evaluare a controlului intern,
implementat în organizaţie. Astfel, auditorul intern stabileşte
calificativul adecvat pentru controlul intern existent în
organizaţie, pe baza raţionamentului profesional şi a tehnicilor

de investigare. Un exemplu de investigare prin chestionare este
prezentat în Anexa 5.4 de la acest Ghid.
Exemplu:
Calificative pentru Evaluarea Controlului Intern Scor
Conform – există proceduri şi acestea se aplică în totalitate 1
Parţial Conform – există proceduri, dar nu sunt cunoscute sau 2

nu se aplică corespunzător
Neconform – nu există proceduri 3
În final, gradul de expunere ajustat se poate sintetiza calitativ sau

letric, după cum urmează în schema de mai jos:
Risc Interpretarea expunerii la risc Clasificare

(Calitativ) (Letrică)
Foarte mare
Impact mare/ Sunt cele mai mari riscuri, cărora
Probabilitate mare A
întreprinzătorii trebuie să le acorde o
atenţie deosebită
Impact mare/ Mare
Probabilitate medie Aceste riscuri au fie o probabilitate
B
Impact mediu/ mare de apariţie, fie un impact
Probabilitate mare semnificativ
Mediu
Impact mediu/
Există o şansă medie ca riscurile cu un C
Probabilitate medie
impact sesizabil să apară
Impact mediu/ Mic
Probabilitate scăzută Aceste riscuri pot apărea în unele situa- D
Impact scăzut/ ţii şi au un impact scăzut sau mediu
Probabilitate medie
Neglijabil
Impact scăzut/ Sunt riscuri cu probabilitate mică de
E
Probabilitate scăzută apariţie şi cu un impact scăzut. De
aceea pot fi neglijate
8. La final, gradul de expunere la risc se va „ajusta” cu calificativul

de evaluare al controlului intern implementat de organizaţie pe
fiecare obiectiv/activitate din lista iniţial întocmită şi se determină

nivelul final al expunerii la risc (de exemplu: mare, mediu, mic).
Astfel, un risc cu expunere mare pentru care există un control intern
puternic implementat de către organizaţie va conduce spre un nivel
final al expunerii la risc scăzut. Similar, pe acele riscuri unde există o
expunere medie şi nu există un control intern implementat de către
organizaţie poate determina o expunere ridicată şi ca atare atrage
atenţia auditorului intern de a prioritiza includerea în planul de audit
a riscului respectiv.
Reprezentarea grafică a expunerii la risc, conform matricei mai sus
detaliate, se poate face astfel:
a) TIP LETRIC
IMPACTUL
Scăzut Mediu Mare
(nesemnificativ) (rezonabil) (semnificativ)
PROBABILITATEA
Mică
(puţin probabil să E D C
se întâmple)
Medie
(se poate produce D C B
la un moment dat)
Mare
(foarte probabil să C B A
se producă)
b) TIP SEMAFOR
IMPACTUL
Mare
Scăzut Mediu
(impact
(nesemnificativ) (impact rezonabil)
semnificativ)
Mică
PROBABILITATEA
Portocaliu
(puţin Verde (eşti în Galben (de
(trebuie
probabil să se siguranţă) monitorizat)
acţionat)
întâmple)
Medie
Portocaliu Portocaliu închis
(se poate Galben (de
(trebuie (necesită acţiuni
produce la un monitorizat)
acţionat) imediate)
moment dat)
Mare Portocaliu
Portocaliu
(foarte închis (riscuri Roşu aprins –
(trebuie
probabil să se serioase acţiuni zonă de pericol
acţionat)
producă) imediate)
4.10. Exemple de categorii de riscuri

Riscul de credit – riscul manifestat ca urmare a incapacităţii
contrapărţii de a-şi îndeplini obligaţiile integral, nici la scadenţă şi nici la un
alt moment viitor.
Riscul de piaţă – riscul de a înregistra pierderi aferente poziţiilor din
bilanţ şi din afara bilanţului din cauza fluctuaţiilor nefavorabile pe piaţă ale
preţurilor (cum ar fi, de exemplu, preţurile acţiunilor, ratele de dobândă,
cursurile de schimb valutar);
Risc de lichiditate – riscul actual sau viitor de afectare negativă a
profiturilor şi capitalului, determinat de incapacitatea organizaţiei de a-şi
îndeplini obligaţiile la scadenţă;
Riscul operaţional – riscul manifestat ca urmare a erorii umane
şi/sau a unei nefuncţionări a unei componente hardware, software sau a
sistemului de comunicaţie, care este crucială în procesul de decontare;
Riscul de concentrare – riscul rezultat din expunerile faţă de fiecare
contraparte, grupuri de contrapartide asociate şi contrapartide din acelaşi
sector economic, aceeaşi regiune geografică sau care desfăşoară aceeaşi
activitate sau furnizează aceeaşi marfă sau din aplicarea tehnicilor de
diminuare a riscului de credit, inclusiv, în special, riscurile aferente expu-
nerilor indirecte mari din credite;
Risc reputaţional – riscul actual sau viitor de afectare negativă a
profiturilor şi capitalului determinat de percepţia nefavorabilă asupra imaginii
unei organizaţii, de către clienţi, contrapartide, acţionari, investitori sau
autorităţi de supraveghere;
Risc de conformitate – reprezintă riscul actual sau viitor de afectare a
profiturilor şi a capitalului, care poate conduce la amenzi, daune şi/sau
rezilierea de contracte sau care poate afecta reputaţia unei organizaţii, ca
urmare a încălcărilor sau neconformării cu cadrul legal şi de reglementare, cu
acordurile, practicile recomandate sau standardele etice;
Riscul strategic – riscul actual sau viitor de afectare negativă a
profiturilor şi capitalului determinat de schimbări în mediul de afaceri sau de
decizii de afaceri defavorabile, de implementarea inadecvată a deciziilor sau de
lipsa de reacţie la schimbările din mediul de afaceri.
Riscul spălării banilor – riscul este determinat de cerinţele Directivei
2015/849 a Parlamentului European şi a Consiliului din 20 mai 2015 privind
prevenirea utilizării sistemului financiar în scopul spălării banilor sau
finanţării terorismului, de modificare a Regulamentului (UE) nr. 648/2012 al
Parlamentului European şi al Consiliului şi de abrogare a Directivei
2005/60/CE a Parlamentului European şi a Consiliului şi a Directivei

2006/70/CE a Comisiei. Fiecare organizaţie trebuie să facă o analiză de risc a
clientelei atunci când încheie o afacere şi trebuie să aplice o serie de măsuri de
cunoaştere („know your client”), conform legislaţiei europene.
Riscul de Conformitate cu cerinţele GDPR – Cerinţele GDPR au
ca scop standardizarea şi armonizarea la nivelul Uniunii Europene a
reglementărilor privind protecţia datelor cu caracter personal. Prin acest
regulament se pun în atenţie riscurile legate de protecţia datelor cu caracter
personal, fără a stabili cum să se realizeze protecţia acestor date. Mai degrabă
se stabilesc aşteptări legate de date pe baza nivelului de sensibilitate a acestora
şi a riscurilor potenţiale. În Anexa 20 la acest Ghid sunt prezentate informaţii
complementare despre acest aspect de interes.
Riscul cibernetic – este unul din cele mai actuale riscuri în era
digitală. Organizaţiile trebuie să rămână sigure, vigilente şi rezistente pentru
minimizarea riscului, cât şi optimizarea noilor oportunităţi. Mediul de afaceri
de astăzi este global şi foarte interconectat, sporind probabilitatea unei
organizaţii de ameninţări cibernetice. În Anexa 21 la Ghid sunt prezentate
informaţii complementare despre acest aspect de interes.
Capitolul 5. DESFĂŞURAREA MISIUNII DE

AUDIT INTERN
Prezentul Ghid detaliază şi oferă clarificare pentru etapele de derulare a

unei misiunii de audit intern, precum şi principalele operaţiuni efectuate în
cadrul misiunii de asigurare. Prevederile de mai jos sunt general aplicabile
tuturor tipurilor de misiuni de audit efectuate de structura de audit, conform
Cartei auditului intern al organizaţiei.
Pentru misiunile de consiliere, în funcţie de obiectivele misiunilor,
pe baza raţionamentului profesional, personalul desemnat poate aplica
regulile şi procedurile de mai jos ca atare sau într-o manieră modificată.
5.1. Standardele de performanţă aplicabile

Activităţile specifice în cadrul unei misiuni de audit intern şi criteriile
calitative pentru evaluarea activităţii de audit intern se regăsesc în Standar-
dele de performanţă.
Ca regulă generală, acestea se aplică indiferent dacă misiunea de audit
este de asigurare sau de consiliere, atât pentru activităţile de audit intern
organizate în cadrul structurii interne a organizaţiei, cât şi pentru cele realizate
prin servicii externalizate.
În fluxul de desfăşurare a activităţii de audit intern, considerăm că nu
poate exista o delimitare între momentele în care se aplică Standardele de
calificare şi cele de performanţă.
Îndeplinirea Standardelor de performanţă depinde de îndeplinirea

Standardelor de calificare (vezi capitolul 3).
5.1.1. Coordonarea activităţii de audit intern (Standardul

2000)
Conducătorul activităţii de audit intern trebuie să coordoneze eficace
activitatea de audit intern, astfel încât să se asigure că aceasta va aduce
valoare organizaţiei.
Capitolul 5. Desfăşurarea misiunii de audit intern 97
Activitatea de audit intern este coordonată în mod eficace atunci când:

 Rezultatele activităţii de audit intern asigură îndeplinirea sco-
pului şi responsabilităţilor prevăzute în Carta auditului intern;
 Activitatea de audit intern se desfăşoară conform Definiţiei şi
Standardelor de audit intern; şi
 Persoanele care desfăşoară activitatea de audit intern de-
monstrează că respectă Codul de Etică şi Standardele.
Auditul intern aduce valoare în cadrul organizaţiei atunci când furni-
zează o asigurare obiectivă şi relevantă şi contribuie la eficacitatea şi eficienţa
proceselor de guvernanţă, ale managementului riscului şi ale controlului.
Coordonatorul activităţii de audit intern trebuie să stabilească un plan
bazat pe riscuri pentru a determina priorităţile activităţii de audit intern, care
să fie în concordanţă cu obiectivele organizaţiei.
Coordonatorul activităţii de audit intern este responsabil pentru ela-
borarea unui plan bazat pe riscuri. Acesta trebuie să ia în considerare cadrul
privind managementul riscului din organizaţie, inclusiv prin utilizarea nive-
lurilor de apetit la risc stabilite de către conducere pentru diferite activităţi sau
structuri din organizaţie. Dacă nu există un astfel de cadru, coordonatorul acti-
vităţii de audit intern va utiliza propriul său raţionament cu privire la riscuri,
după consultarea conducerii superioare şi a consiliului de administraţie.
Coordonatorul activităţii de audit intern trebuie să revizuiască şi să
ajusteze planul, după caz, ca răspuns la schimbările survenite cu privire la
activităţile, riscurile, operaţiunile, programele, sistemele şi controalele din
cadrul organizaţiei.
În Anexele 4 şi 5 sunt prezentate, spre exemplificare, modele de plan
multianual de audit intern şi plan anual de audit intern, aşa cum este detaliat
şi în Capitolul 3.
5.1.2. Programul misiunii (Standardul 2240)

Auditorii interni trebuie să elaboreze şi să documenteze programe de
lucru pentru îndeplinirea obiectivelor misiunii de audit intern.
Programul de lucru al misiunii de audit intern trebuie să includă pro-
cedurile pentru identificarea, analizarea, evaluarea şi documen-
tarea informaţiilor pe timpul misiunii.
Programul de lucru trebuie să fie aprobat înainte de implementarea sa,
iar orice modificare trebuie aprobată cu promptitudine de către coordonatorul
de audit intern.
În Anexa 8 este prezentat, spre exemplificare, un model de program

general al misiunii de audit intern. Acesta se poate adapta după caz, pe tipul şi
structura funcţiei auditate.
5.1.3. Realizarea misiunii (Standardul 2300)

Auditorii interni trebuie să identifice, analizeze, evalueze şi documenteze
informaţii suficiente pentru îndeplinirea obiectivelor conform programului
misiunii de audit.
Informaţiile trebuie să fie suficiente şi adecvate, bazate pe probe şi
convingătoare, astfel încât o persoană prudentă şi informată să ajungă la
aceleaşi concluzii cu auditorul intern. Informaţiile sigure sunt cele mai bune
informaţii care se pot obţine prin utilizarea tehnicilor adecvate în cadrul
misiunii de audit intern. Informaţiile relevante susţin constatările şi recoman-
dările misiunii şi sunt în concordanţă cu obiectivele misiunii.
În Anexa 9 este prezentat, spre exemplificare, un model de foaie de
lucru care se întocmeşte de auditorul intern pentru fiecare obiectiv din progra-
mul misiunii de audit intern pentru susţinerea constatărilor, recomandărilor şi
concluziilor cuprinse în raportul de audit intern întocmit de acesta.
5.1.4. Comunicarea rezultatelor (Standardul 2400)

Auditorii interni trebuie să comunice rezultatele misiunilor.
Comunicările trebuie să includă obiectivele misiunii, sfera de
cuprindere, precum şi concluziile, recomandările şi planurile de
acţiune adecvate.
Comunicarea finală a rezultatelor misiunii trebuie să conţină, acolo unde
este cazul, opinia auditorilor interni şi/sau concluziile acestora. Când o opinie
generală este emisă, aceasta trebuie să ţină seama de aşteptările conducerii
superioare, ale consiliului şi ale altor factori interesaţi de activitatea de audit
intern şi trebuie să se bazeze pe informaţii suficiente, sigure, relevante şi utile.
Pentru detalii despre maniera de raportare, vezi Capitolul 5.3.
5.1.5. Monitorizarea progresului (Standardul 2500)

Conducătorul activităţii de audit intern trebuie să stabilească şi să
menţină un sistem de monitorizare a utilizării rezultatelor comunicate de către
consiliul de administraţie, consiliul de supraveghere sau directorat, în funcţie
de tipul organizaţiei şi de modalitatea în care organizaţia este administrată,
potrivit prevederilor Legii nr. 31/1990 privind societăţile, cu modificările şi

completările ulterioare.
În Anexa 14 este prezentat, spre exemplificare, un model de raport de
monitorizare privind constatările, recomandările şi stadiul de implementare a
recomandărilor cuprinse în rapoartele de audit intern întocmite, raportare
care se prezintă periodic consiliului de administraţie, consiliului de suprave-
ghere sau directoratului, în funcţie de tipul organizaţiei.
5.1.6. Comunicarea acceptării riscurilor (Standardul 260030)

Identificarea riscului acceptat31 de către management poate fi constatată
printr-o misiune de asigurare sau consiliere, prin verificarea stadiului privind
acţiunile luate de management ca urmare a misiunilor anterioare sau prin alte
mijloace. Nu este responsabilitatea coordonatorului activităţii de audit
intern să ia decizii cu privire la riscuri.
Atunci când coordonatorul activităţii de audit intern consideră că
evaluarea internă de risc folosită de organizaţie are un nivel al riscului
rezidual32 inadecvat şi care poate afecta procesul decizional, acesta
trebuie să adreseze problema spre clarificare şi remediere către con-
ducerea executivă superioară / nivelurile superioare ale conducerii
organizaţiei. Dacă stabileşte că problema nu a fost rezolvată, coordonatorul
activităţii de audit intern trebuie să comunice acest fapt consiliului de admi-
nistraţie.
5.1.7. Comunicarea cu conducerea superioară şi cu consiliul

Conform Standardelor IIA şi, nu în ultimul rând, celor mai bune prac-
tici, comunicarea efectivă cu conducerea superioară şi cu consiliul organizaţiei
este responsabilitatea coordonatorului activităţii de audit intern.
În implementarea cerinţelor de comunicare, coordonatorul activităţii de
audit intern trebuie să înţeleagă care sunt aşteptările conducerii superioare şi
ale consiliului legat de auditul intern.
Coordonatorul activităţii de audit intern trebuie să discute cu condu-
cerea superioară şi cu consiliul toate detaliile privind raportarea, comunicarea
30 Conform IIA Global 2017, versiunea în limba română.

31 Nivelul absolut al riscurilor pe care o organizație este pregătită să și-l asume în mod
aprioric – Risk appetite (conform IIA Global).
32 Riscul la care poate fi expusă organizația după implementarea măsurilor de control
în vederea diminuării riscului inerent (conform IIA Global).

– inclusiv frecvenţa comunicării –, să elaboreze un program fundamentat,

fezabil şi obiectiv al raportărilor către conducerea superioară.
Calitatea comunicării depinde în primul rând de abilităţile coordo-
natorului activităţii de audit intern de a întreprinde cele mai utile acţiuni, de a
formula informările/notele sau alte documente transmise conducerii supe-
rioare şi consiliului într-o manieră care să aibă în vedere o formulare adecvată,
clar structurată, cu menţionarea motivelor pentru care au fost întocmite,
subiectul şi scopul acestora, eventual solicitări şi termene de soluţionare.
Accesul nerestricţionat la conducerea superioară şi la consiliu trebuie să

asigure pentru coordonatorul activităţii de audit intern comunicarea
oportună (în orice moment) a aspectelor legate de identificarea unor
elemente care afectează procesele de guvernanţă, management al riscului
şi de control.
Atât timp cât conducerea superioară şi consiliul răspund în cel mai
scurt timp la solicitările / informările / sesizările coordonatorului acti-
vităţii de audit intern se poate aprecia o eficienţă crescută a comunicării.
5.2. Desfăşurarea misiunii de audit intern

Desfăşurarea unei misiuni de audit implică, în primul rând, o pregătire
adecvată a acesteia din punct de vedere al alocării resurselor, presupune
consemnarea fiecărei etape a misiunii în evidenţele structurii de audit, precum
şi parcurgerea a cel puţin următoarelor etape principale prevăzute în
Standarde:
2200 – Planificarea misiunii de audit intern

2300 – Realizarea misiunii
2400 – Comunicarea rezultatelor
2500 – Monitorizarea progresului.
5.2.1. Planificarea preliminară a misiunii de audit intern

Pornind de la Planul Strategic şi Planul anual stabilit de activitate, se va
stabili planificarea efectivă a misiunii de audit în sine. Ca atare:
La planificarea misiunii trebuie luate în considerare:
 Obiectivele strategice şi operaţionale ale activităţii selectate

pentru audit intern şi mijloacele prin care activitatea este
controlată în cadrul organizaţiei (ca management al riscurilor);
 Identificarea clară a structurii (departamentului) care va face
obiectul misiunii de audit intern;
 Riscurile semnificative legate de activitatea respectiva, care sunt
obiectivele sale, resursele utilizate, precum şi operaţiile şi
mijloacele prin care impactul potenţial al riscului este menţinut la
un nivel acceptabil de către organizaţie (aşa cum au fost ele
identificate iniţial în Evaluarea preliminară de risc pentru
elaborarea Planului Strategic de Audit Intern);
 Obiectivul misiunii de audit intern va fi acela de adecvare şi
eficacitate a sistemelor de management şi control al riscurilor
activităţii, cu referire la un cadru sau model relevant de control;
 Resursele disponibile în cadrul departamentului de audit intern,
atât din punct de vedere calitativ (ca număr de persoane în
echipă), cât şi cantitativ (ca şi competenţe profesionale şi expe-
rienţa în domeniul respectiv); de asemenea trebuie luată în calcul
şi resursa timpului pentru efectuarea misiunii de audit intern;
 Conformarea membrilor echipei de audit cu criteriile calitative
profesionale etice – în speţă independenţa – şi evitarea oricărui
conflict de interese. Coordonatorul verifică actualizarea decla-
raţiilor de independenţă pentru echipa sa.
Aşa cum este menţionat şi în subcapitolul 3.8.1., planul strategic este
baza pentru planul anual şi rezultatele fiecărei misiuni de audit pot
modifica sau confirma, după caz, planificarea perioadei următoare.
În urma acestei analize efectuate intern de către coordonatorul structurii
de audit intern, împreună şi cu echipa sa, se va stabili pasul de deschidere
oficială a misiunii de audit intern.
5.2.2. Notificarea începerii misiunii de audit intern

Notificarea privind începerea misiunii de audit intern are ca scop
informarea structurii auditate despre începerea misiunii de audit intern
potrivit Dispoziţiei /Ordinului de misiune semnat.
Notificarea trebuie să conţină informaţii referitoare la obiectivele
generale, durata misiunii, perioada supusă auditării, componenţa echipei
misiunii de audit intern, solicitarea asigurării prezenţei personalului din
structura auditată şi asigurarea condiţiilor de desfăşurare a misiunii în bună

regulă, precum şi informaţii cu privire la data, locaţia şi ora orga-
nizării şedinţei de deschidere a misiunii de audit intern.
În scopul eficienţei de comunicare şi în vederea asigurării condiţiilor de
desfăşurare şi de conformare, se recomandă ca, în funcţie de complexitatea
structurii auditate, Notificarea să fie transmisă structurii auditate şi condu-
cerii superioare cu cel puţin 7 zile calendaristice înainte de începerea
misiunii.
Misiunea de audit intern începe după primirea răspunsului de
confirmare din partea structurii auditate – în scris sau electronic – privind
asigurarea prezenţei persoanelor implicate, punerea la dispoziţia auditorului
intern a materialelor solicitate, colaborarea executivului.
Data începerii misiunii nu este recomandat să depăşească data aprobată
de consiliul de administraţie / comitetul de audit pentru începerea misiunii. În
caz contrar, orice modificare faţă de un plan iniţial agreat trebuie notificată
părţilor, în special conducerii superioare din organizaţie.
În Ghidul curent modelul de Notificare este actualizat şi prezentat în

Anexa 6.
De asemenea, considerăm că emiterea Ordinului de misiune (vechea
Anexă 4 din Ghidul 2015) nu este obligatorie, cu excepţia cazurilor
expres prevăzute în Manualul de Politici şi Proceduri interne a activităţii de
audit intern.
5.2.3. Deschiderea misiunii de audit intern

În cadrul şedinţei de deschidere a misiunii, echipa de audit abordează, în
principal, următoarele subiecte:
a) obiectivul general şi sfera de cuprindere a misiunii;
b) calendarul estimativ al misiunii;
c) aspecte legate de comunicarea pe parcursul misiunii, inclusiv
modalitatea de comunicare şi persoanele de contact desemnate (de
exemplu, pentru solicitare documente, acces la active şi altele),
precum şi eventualele aspecte semnificative, ce se pot schimba pe
parcursul misiunii (de exemplu, modificarea obiectivului misiunii
sau a programului de audit şi altele);
d) strategia de dezvoltare şi evoluţie a structurii auditate; obiectivele
principale şi priorităţile pe care conducerea le are în vedere;
e) riscurile pe care conducerea structurii auditate le apreciază ca

semnificative şi, legat de acestea, preocupările cele mai importante ale
conducerii şi zonele în care îşi concentrează cel mai mult eforturile şi
resursele;
f) condiţiile în care se desfăşoară procesul auditat din punct de vedere
operaţional şi infrastructura ce serveşte procesul (de exemplu,
implementarea de noi proiecte sau sisteme IT);
g) eventuale solicitări specifice ale conducerii structurii auditate pentru
echipa de audit, respectiv aspecte punctuale sau de interes, pe care
auditorii să le investigheze în mod special;
h) stadiul de implementare a recomandărilor auditului intern, precum şi
ale auditului extern, formulate pentru procesul auditat cu ocazia
misiunilor anterioare;
i) alte subiecte apreciate ca fiind de interes special pentru echipa de
audit, la propunerea coordonatorului de misiune.
Principalele aspecte discutate în cadrul şedinţei de deschidere sunt
consemnate într-o minută şi sunt transmise conducerii structurii auditate,
pentru confirmare. Într-o perioadă de timp limitată, conducerea structurii au-
ditate trebuie să formuleze şi să transmită echipei de audit intern eventualele
sale observaţii asupra conţinutului minutei.
În cazul necomunicării unui răspuns, se consideră că informaţiile
cuprinse în document sunt confirmate.
Şedinţa de deschidere a misiunii este recomandat să se organizeze la
structura auditată.
În Anexa 7 este prezentat un astfel de model al minutei şedinţei de
deschidere. Acest document se poate formaliza ca o Minută oficială sau poate
avea structura unui e-mail cu confirmare de primire, care să ateste toate
aspectele discutate şi agreate în şedinţă.
5.2.4. Elaborarea programului de lucru al misiunii

Programul de lucru al misiunii reprezintă un document elaborat
pentru fiecare misiune de audit intern, cu scopul de asigura, în mod metodic şi
sistematic, desfăşurarea în bune condiţii a misiunii, cu respectarea etapelor şi
procedurilor stabilite pentru realizarea obiectivelor aprobate.
În cadrul Programului de lucru, pentru fiecare obiectiv se sta-
bilesc activităţile, perioadele de efectuat, repartizarea responsa-
bilităţilor între membrii echipei, precum şi resursele alocate.
Coordonatorul activităţii de audit intern poartă responsabilitatea

elaborării programului de lucru şi monitorizează îndeplinirea acestuia.
Programul de lucru poate fi actualizat / modificat / completat, în funcţie
de concluziile şi constatările apărute pe parcursul derulării misiunii.
În Anexa 8 se prezintă un astfel de model al Programului general
de lucru al misiunii de audit intern, care se poate adapta şi detalia mai
mult, dacă este cazul. Ca o remarcă, acest model are scopul de a sintetiza ceea
ce ar trebui elaborat pe parcursul misiunii (un „checklist” calitativ) şi, de
aceea, programul de lucru general se va detalia pe fiecare misiune, obiective,
activităţi şi proceduri aplicabile.
5.2.5. Realizarea efectivă a misiunii

Constă în identificarea, analiza, evaluarea şi documentarea informaţiilor
necesare pentru îndeplinirea obiectivelor misiunii.
În cadrul acestei etape se desfăşoară cel puţin următoarele activităţi:
 Efectuarea testărilor, aplicarea tehnicilor şi procedurilor
stabilite prin Programul de lucru al misiunii;
 Colectarea probelor de audit;
 Revizuirea analizei de risc anterioare sau efectuarea unei
analize mai detaliate pentru a ne asigura de completitudine în
procedurile aplicate.
 Evidenţierea în documentele de lucru ale misiunii de audit
intern a rezultatelor obţinute din efectuarea procedurilor de
audit intern aplicate, precum şi a celorlalte informaţii relevante
ale misiunii;
 Verificarea şi revizuirea probelor de audit obţinute;
 Formularea concluziilor şi discutarea acestora cu structura
auditată, pe baza rezultatelor procedurilor de audit intern
efectuate.
 Discutarea constatărilor cu conducerea structurii auditate
Toate aceste operaţiuni au ca scop obţinerea de către echipa de audit a
unor informaţii suficiente, utile, credibile şi relevante pentru a avea o
fundamentare a observaţiei asupra obiectivului general al misiunii.
Pentru obţinerea probelor de audit, echipa de audit efectuează testele,
respectiv aplică tehnicile şi procedurile stabilite prin programul de audit,
în mod sistematic şi metodic, cele mai uzuale dintre acestea fiind:
 interviul,
 observarea,
 inspecţia la faţa locului,
 investigarea,
 verificarea,
 testele tip walk-through (validare a procedurii în sine pe baza
unui eşantion aleatoriu de tranzacţii),
 examinarea documentelor şi înregistrărilor,
 analiza datelor şi informaţiilor,
 reefectuarea sau recalcularea,
 confirmarea,
 urmărirea şi
 procedurile analitice
Obţinerea informaţiilor este facilitată de o comunicare deschisă cu
personalul structurii auditate. De asemenea, tehnicile de obţinere a infor-
maţiilor sunt documentate în manualul de politici şi proceduri ale auditului
intern.
Auditorii pot aplica procedurile mai sus-menţionate pe o populaţie de
date, informaţii sau înregistrări, testând integral sau pe bază de
eşantion, caz în care vor utiliza tehnici de eşantionare adecvate33.
Auditorul intern va documenta procedurile efectuate şi observaţiile sale
în foi de lucru specifice, care se vor arhiva într-un dosar de lucru distinct pe
fiecare misiune de audit intern. Documentarea poate conţine, pe lângă foi de
lucru şi scheme logice, şi documentaţie care susţine/justifică observaţiile
făcute şi recomandările propuse etc.
Deşi foile de lucru diferă în funcţie de procedura efectuată, este
important ca din foaia de lucru să reiasă clar: obiectiv, procedura aplicată,
populaţia verificată, observaţia făcută, riscul estimat de auditor şi
recomandarea propusa.
În Anexa 9 se prezintă un model general de foaie de lucru. Este foarte
important ca foaia de lucru să ofere baza pentru observaţiile care se vor
include în raport şi să permită o trasabilitate rapidă la sursa informaţiilor.
33 În cele mai multe cazuri eșantionarea aleatoare este foarte relevantă pentru testarea
procedurilor, dar din păcate nu oferă o bază matematică pentru extrapolarea rezul-
tatelor la o populație neomogenă. Există însă softuri care pot eșantiona tranzacții,
precum și literatură de specialitate (vezi IIA) în acest sens.
De aceea, pentru uşoara trasabilitate, se pot utiliza referinţe similare celor din
dosarele de audit financiar, care vor permite conectarea diverselor secţiuni din
dosarul de lucru sau conectarea cu sursa informaţiei.
În baza rezultatelor procedurilor de audit efectuate, auditorii interni
trebuie să formuleze concluzii asupra fiecărui obiectiv detaliat din programul
de audit ca sa poată întocmi raportul lor.
Realizarea misiunii apelează la competenţele şi abilităţile profesionale

ale coordonatorului activităţii de audit intern şi ale membrilor echipei.
5.2.6. Verificarea finală şi revizuirea execuţiei misiunii de

audit intern
Înainte de finalizarea misiunii de audit intern, conducătorul misiunii
procedează la verificarea şi revizuirea execuţiei programului de audit, deter-
minând dacă s-au efectuat integral procedurile de audit stabilite ini-
ţial prin programul de audit, precum şi suficienţa, utilitatea, relevanţa şi
credibilitatea rezultatelor acestor proceduri pentru atingerea obiectivului
general al misiunii, respectiv, asigurarea calităţii corespunzătoare a probelor
de audit obţinute.
Acesta este un proces continuu, care începe cu planificarea şi se continuă
pe tot parcursul misiunii.
Coordonatorul activităţii de audit intern revizuieşte la final foile de lucru
şi evaluează nivelul de îndeplinire a criteriilor de calitate pentru informaţiile
obţinute
Documentarea conformării se face prin foile de lucru, întocmite manual
sau electronic, iniţializate de membrul echipei care a efectuat procedura
respectivă şi contrasemnate de coordonatorul activităţii de audit.
Anexa 15 la Ghid oferă un model de listă de verificare/revizuire
(checklist), care permite finalizarea în bună regulă a misiunii de audit şi
asigură conformitatea misiunii cu Standardele internaţionale de audit intern.
5.3. Finalizarea misiunii de audit intern

Din punct de vedere practic, finalizarea misiunii de audit intern
reprezintă etapa în care, în urma analizei şi evaluării informaţiilor obţinute, se
elaborează raportul de audit intern, se formulează măsurile şi planul de
acţiune pentru îmbunătăţirea proceselor de guvernanţă, management al
riscurilor şi control şi se comunică rezultatele realizării misiunii.
Totodată, finalizarea are în vedere comunicarea legată de riscurile

acceptate, identificate în urma implementării planului de acţiune menţionat
mai sus.
Etapa de finalizare a misiunii de audit intern reprezintă doar încheierea

unui ciclu de desfăşurare a misiunii şi impune reluarea acestuia pornind
de la evaluările consemnate în rapoartele anterioare de audit intern.
5.3.1. Elaborarea raportului de audit intern şi comunicarea

rezultatelor
Din punct de vedere semantic, comunicarea reprezintă acţiunea de a
înştiinţa/a informa/a prezenta/a transmite/a face cunoscut contextul, apre-
cierile, concluziile legate de o anumită activitate, iar abilităţile de comunicare
în mediul de afaceri ar trebui să reprezinte un punct forte al coordonatorului
Raportul de audit intern este documentul care reuneşte rezultatele
activităţilor de audit, opiniile auditorilor, precum şi sugestiile şi propunerile cu
scopul de a îndepărta motivele oricăror aspecte relevante sau critice observate.
În conformitate cu definiţia dată de Standardele Internaţionale de Audit
Intern, opinia generală formulată în raportul de audit intern poate fi
exprimată printr-un rating (ex: de la 1 la 5, unde 5 este cel mai bun),
concluzie (ex: satisfăcător/nesatisfăcător/funcţional/etc.) sau altă
descriere a rezultatelor (tip semafor) furnizată de coordonatorul activi-
tăţii de audit intern, privind, la nivel general, procesele de guvernanţă,
managementul riscului şi controlul intern ale unei organizaţii.
Opinia generală se bazează pe raţionamentul profesional al
responsabilului pentru misiunea de audit intern, în funcţie de
rezultatele obţinute pe perioada derulării misiunii.
Auditorii interni îşi exprimă opinia cu privire la activitatea auditată
în funcţie de nivelele de apreciere acordate şi de rezultatele consta-
tărilor efectuate sau de gradul de realizare a activităţilor auditate:
Nivelul 1 – Funcţional
 riscurile identificate sunt mici, acceptabile şi nu necesită măsuri
de control;
 sistemul de control intern este implementat; sunt elaborate

proceduri adecvate, care pot preveni materializarea tuturor
riscurilor;
 există un grad mare de acoperire a tuturor proceselor şi activită-
ţilor structurii auditate prin cadrul legislativ – normativ şi pro-
cedural;
 nu au fost constatate deficienţe la nivelul structurii auditate.
Nivelul 2 – De îmbunătăţit
 riscurile identificate sunt mici, acceptabile, dar necesită unele
măsuri de control;
 sistemul de control intern este implementat; sunt elaborate pro-
ceduri, dar care nu pot preveni materializarea tuturor riscurilor
minore;
 există un grad de acoperire a tuturor proceselor şi activităţilor
structurii auditate prin cadrul legislativ – normativ şi procedural;
 au fost constatate deficienţe la nivelul structurii auditate, dar care
nu pot avea implicaţii asupra poziţiei financiare şi performanţelor
organizaţiei sau asupra situaţiilor financiare şi nu necesită
acţiune imediată.
Nivelul 3 – Satisfăcător
 riscurile identificate sunt medii, nivelul acceptat al riscurilor este
ridicat şi necesită măsuri de control pe termen mediu;
 sistemul de control intern este parţial implementat, procedurile
nu sunt suficiente pentru prevenirea materializării riscurilor;
 există un grad satisfăcător de acoperire a tuturor proceselor şi
activităţilor structurii auditate prin cadrul legislativ – normativ şi
procedural;
 au fost constatate deficienţe la nivelul structurii auditate care pot
avea implicaţii asupra poziţiei financiare şi performanţelor
organizaţiei sau asupra situaţiilor financiare, dar care nu necesită
acţiune imediată.
Nivelul 4 – Nesatisfăcător
 riscurile identificate sunt medii, nivelul acceptat al riscurilor este
ridicat şi necesită măsuri de control pe termen lung;
 sistemul de control intern nu este implementat, o mare parte din

proceduri lipsesc, iar cele care există sunt puţin utilizate sau nu
sunt implementate corespunzător;
 există un grad nesatisfăcător de acoperire a tuturor proceselor şi
activităţilor structurii auditate prin cadrul legislativ – normativ şi
procedural;
 au fost constatate deficienţe la nivelul structurii auditate care pot
avea implicaţii asupra poziţiei financiare şi performanţelor
organizaţiei sau asupra situaţiilor financiare şi care necesită
acţiune imediată.
Nivelul 5 – Critic
 riscurile identificate sunt ridicate, nivelul acceptat al riscurilor
este critic şi necesită măsuri de control urgente;
 sistemul de control intern nu este implementat; procedurile
lipsesc;
 nu există un cadru legislativ – normativ – procedural care să aco-
pere toate procesele şi activităţile organizaţiei sau acesta nu este
cunoscut şi aplicat corespunzător de către organizaţia auditată;
 au fost constatate deficienţe la nivelul structurii auditate care au
avut implicaţii asupra activelor sau situaţiilor financiare ale
organizaţiei şi necesită acţiune imediată.
Similar, auditorul trebuie să asigure adaptarea criteriilor de apre-

ciere calitative şi cantitative la specificul şi particularităţile organi-
zaţiei.
 aprecierea vulnerabilităţii – (pe următoarea scală: redusă –
medie – ridicată);
 aprecierea controlului intern – (pe următoarea scală: suficient
– insuficient – cu lipsuri grave);
 aprecierea impactului financiar – (pe următoarea scală: redus
– mediu – important).
Aprecierile asupra controlului intern pot avea în vedere
următoarele criterii:
 Sistemul de control intern şi de management al riscurilor

implementate în cadrul procesului auditat sau al structurii
auditate sunt proiectate şi operează într-o asemenea
manieră încât obiectivele procesului sau structurii
respective sunt atinse cu consecvenţă;
Corespunzător
 Riscurile cheie sunt identificate şi gestionate eficace;
 Slăbiciunile identificate expun procesul sau structura
auditată la un nivel general al riscului rezidual scăzut; nu se
impune ca managementul să întreprindă acţiuni sau măsuri
de corecţie semnificative, dar sunt posibile îmbunătăţiri ale
controlului.
 Sistemele de control intern şi management al riscurilor im-
plementate în cadrul procesului auditat/structurii auditate
sunt, în general, proiectate şi operează într-o asemenea
manieră încât obiectivele respectivului proces sau ale
structurii auditate sunt atinse cu consecvenţă;
Insuficient  Riscurile cheie sunt identificate şi gestionate într-un mod
eficace;
 Slăbiciunile identificate expun procesul sau structura
auditată la un nivel general al riscului rezidual scăzut spre
mediu. Se impune ca managementul să întreprindă anumite
acţiuni şi să ia măsuri corective semnificative într-un anu-
mit interval de timp.
 Sistemele de control intern şi management al riscurilor
implementate în cadrul procesului sau structurii auditate
sunt insuficient proiectate şi/sau operează într-un mod
insuficient pentru atingerea cu consecvenţă a obiectivelor;
 Nu sunt identificate toate riscurile cheie şi/sau acestea nu
Cu lipsuri
sunt gestionate eficace;
grave
 Slăbiciunile identificate expun procesul sau structura audi-
tată la un nivel general al riscului rezidual mediu spre
ridicat. Se impune ca managementul să întreprindă acţiuni
şi să ia măsuri corective semnificative, într-un anumit
interval de timp şi, în mod excepţional, se cer acţiuni
urgente.
Observaţiile necesare de inclus în raport trebuie să respecte următoarele

caracteristici:
 Precizie = fără erori sau distorsiuni;
 Claritate = uşor de înţeles şi logice;

 Concis = la obiect, evită prezentări inutile şi detaliile inutile,
surplusul de informaţii şi lipsa de claritate;
 Constructiv = utile pentru organizaţie;
 Complet = includ toate informaţiile şi constatările relevante
pentru susţinerea recomandărilor şi propunerilor;
 Realizate la timp = oportune şi rapide.
Ca structură narativă, Raportul de Audit Intern ar trebui să includă

cel puţin următoarele capitole:
1. Introducere:
i. Obiective urmărite
ii. Detalii logistice de derulare a misiunii
iii. Confirmarea independenţei echipei de audit intern
iv. Bugetul de timp disponibil
v. Structura auditată şi baza de informaţii
vi. Eventuale limitări (doar dacă e cazul)
vii. Alte informaţii relevante
2. Prezentare succintă a principalelor observaţii (Executive
Summary). Acest capitol din raport prezintă opinia finală şi face
trimitere la observaţiile cheie detaliate în capitolul următor. Este de
regulă relevant celor din conducerea superioară pentru a facilita
parcurgerea mai rapidă a aspectelor cheie şi înţelegerea opiniei
exprimate de auditorul intern.
Atragem atenţia că această prezentare succintă nu este inde-
pendentă de restul raportului şi trebuie coroborată şi
parcursă împreună cu restul raportului.
Executive Summary poate avea formă tabelară sau poate fi narativ.
3. Observaţii detaliate – în format tabelar sau narativ, după modelul
propriu, unde se vor include cel puţin informaţii despre:
i. Activitatea verificată
ii. Observaţie
iii. Risc
iv. Recomandare
v. Răspunsul structurii auditate

vi. Perioada de implementare propusă de structura auditată
4. Alte informaţii relevante (ca, de exemplu, anexe sau exemple de
documente pentru înţelegerea observaţiilor/comentariilor/reco-
mandărilor).
5.3.2. Şedinţa de conciliere a observaţiilor şi de închidere a

misiunii
Echipa de audit împreună cu conducerea structurii auditate sau cu
responsabilul procesului sau al activităţii auditate se întâlnesc într-o şedinţă de
închidere pentru a se prezenta şi discuta opiniile şi recomandările propuse în
proiectul raportului de audit intern.
Echipa de audit intern analizează şi evaluează punctele de vedere ale
structurii auditate şi/sau documentele suport oferite spre clarificări ulterioare.
În cazul unor neînţelegeri din partea echipei sau omisiuni şi dacă
părţile agreează pozitiv în sensul revizuirii, proiectul iniţial de raport poate
suferi modificări astfel încât varianta finală să poată răspunde cât mai corect
obiectivelor misiunii de audit intern.
În Anexa 11 din Ghid este prezentată schema procesului de conciliere.
Dacă în urma evaluării se apreciază că argumentele prezentate sunt
parţial sau integral nefondate şi se decide neacceptarea poziţiei structurii
auditate, echipa de audit invită conducerea structurii la o şedinţă de
conciliere, în perioada imediat următoare, pentru clarificarea şi soluţionarea
aspectelor asupra cărora există puncte de vedere divergente.
Dacă în urma şedinţei de conciliere divergenţele de opinie persistă,
se va menţiona acest lucru în versiunea finală a raportului de audit
intern, alături de motivele prezentate de structura auditată şi de punctele de
vedere exprimate de responsabilul acesteia.
Tot ca urmare a procesului de conciliere finală, conducerea structurilor
auditate răspunde auditorului intern, în scris, indicând datele şi informaţiile
relevante, ce atestă punerea în aplicare a recomandărilor şi orice altă
informaţie utilă ce vizează acest scop, împreună cu documentele de suport
aferente, după caz. Acest pas se documentează într-un „Plan de mă-
suri/acţiune al organizaţiei pentru diminuarea riscurilor inerente
identificate”.
În practică, planul de măsuri pentru implementarea recomandărilor
împreună cu raportul de audit se discută în şedinţa de conciliere, în cadrul
căreia se stabileşte calendarul de implementare a recomandărilor împreună cu

structura auditată (adică recomandările şi termenele de implementare).
După finalizarea raportului de audit, în misiuni distincte de „follow-up”
periodice, cel puţin anual se monitorizează implementarea recomandărilor
formulate în rapoartele de audit şi planurile de acţiune pentru implementarea
recomandărilor, în termenele agreate cu structurile auditate.
Un model de Plan de Măsuri al Organizaţiei este menţionat în Anexa

16, tabelul 4 din Ghid.
Raportul în versiunea sa finală agreată/conciliată este trimis
mai departe spre informare conducerii superioare şi supus unei
discuţii clarificatoare cu aceasta.
Similar, în Anexa 12 la Ghid este prezentat un model al Minutei de
închidere în vederea documentarii poziţiei finale a părţilor (auditor intern,
structura auditată). Acolo unde procedura nu cere o formalizare strictă de
comunicare, minuta finală se poate documenta şi pe e-mail, cu confirmarea de
primire a părţilor.
5.3.3. Monitorizarea progresului

Urmărirea implementării recomandărilor efectuate de către
auditorii interni este procesul subsecvent comunicării către organizaţie a
opiniei generale asupra rezultatelor misiunii de audit intern, prin care se
constată caracterul adecvat, eficacitatea şi oportunitatea acţiunilor
întreprinse de către conducerea structurii auditate pentru implemen-
tarea recomandărilor formulate de auditorul intern.
Coordonatorul activităţii de audit intern decide asupra celei

mai adecvate abordări pentru urmărirea modului în care sunt
implementate recomandările formulate în comunicările cu
conducerea organizaţiei sau cu consiliul.
Din punct de vedere practic, acest proces trebuie să fie derulat în mai
multe etape:
a. stabilirea unei proceduri / reguli de urmărire a implemen-
tărilor, prin care să se urmărească:
i) intervalul de timp în care se aşteaptă răspunsul conducerii orga-

nizaţiei la observaţiile/recomandările formulate de auditorul
intern;
ii) care sunt criteriile de evaluare şi probitatea răspunsului
conducerii;
iii) cum se poate aprecia rezultatul implementării;
iv) procesul de comunicare cu cel mai adecvat nivel al conducerii su-
perioare sau consiliu şi acţiunile pentru clarificarea răspunsurilor
nesatisfăcătoare.
b. obţinerea din partea structurii auditate a unui referat/notă /raport
al structurii auditate asupra gradului de implementare a recomandărilor
agreate. Acest document este unul informal şi reprezintă o declaraţie a
structurii auditate pe propria răspundere cu măsurile întreprinse până la data
monitorizării.
c. monitorizarea efectivă a stadiului de implementare, conform celor
agreate în raportul de audit şi celor declarate de structura auditată;
d. comunicarea rezultatelor monitorizării ulterioare, atât către
structura auditată, cât şi către conducerea superioară.
În „Monitorizarea progresului” valoarea adăugată a activităţii

de audit intern trebuie să demonstreze oportunitatea şi cali-
tatea recomandărilor propuse, care se regăsesc în contribuţia
la îmbunătăţirea performanţelor structurii auditate.
Rezultatele finale periodice se comunică structurii auditate şi

conducerii superioare / consiliului organizaţiei.
Etapa monitorizării se va documenta separat, conform Anexei 13. Ea
poate fi un raport distinct al auditorului intern către conducerea superioară sau
poate fi parte din raportul de audit aferent următoarei misiuni de audit.
Indiferent însă cum este abordat, ca o misiune separată sau în cursul unei alte
misiuni ulterioare, aceasta va fi o secţiune distinctă în Raportul de audit intern.
*
Pentru recomandările nerealizate în cadrul termenului de im-
plementare, în funcţie de nivelul de risc al constatărilor (la care s-au
formulat respectivele recomandări), conducerea structurilor organizatorice
auditate este înştiinţată în scris (în format fizic sau electronic), cu confirmarea
primirii.
Dacă, în situaţii excepţionale, structurile organizaţiei apreciază că, din
motive obiective (apărute ulterior finalizării misiunii de audit), sunt în
imposibilitatea de a implementa anumite recomandări, care fac
obiectul „Planului de măsuri”, conducerea respectivelor structuri trebuie să
comunice auditorului intern, în scris, acest fapt.
În corespondenţa trimisă auditorului intern, conducerea structurii
organizatorice trebuie să indice noul termen la care se angajează să
implementeze recomandările, precum şi, punctual, măsurile de îmbunătăţire
ce vor fi întreprinse, dacă acestea diferă de cele agreate prin raportul de audit
sau în planul de măsuri iniţial emis.
În situaţia în care, în urma monitorizării, auditorul intern identifică
recomandări neimplementate, aferente unor constatări cu nivel de risc ridicat,
apreciat de auditorul intern ca inacceptabil pentru organizaţie, aceasta se va
menţiona distinct, în cuprinsul rapoartelor / comunicările aferente.
5.3.4. Comunicarea acceptării riscurilor

În cadrul misiunii de audit intern coordonatorul misiunii de audit intern
trebuie să considere:
 identificarea de către auditorul intern a riscurilor
generale iniţiale, care se referă la evaluarea impactului faţă
de realizarea obiectivelor organizaţiei;
 stabilirea de către auditorul intern a riscurilor speci-
fice pentru fiecare misiune de audit intern, care se referă
la particularizarea impactului asupra realizării obiectivelor
structurii/structurilor auditată/auditate;
 măsuri de reducere a riscului identificat prin „Monitorizarea
progresului”
 aprecierea riscului rezidual, ca risc ce se poate evalua după
implementarea/aplicarea măsurilor corective, ca diferenţă între
riscul iniţial identificat de auditorul intern şi riscul rămas după
aplicarea măsurilor corective;
 comparaţie cu riscul acceptat de organizaţie.
Având în vedere responsabilităţile în cadrul guvernanţei, conducerea
superioară / consiliul ar trebui să aibă responsabilitatea şi să aprecieze
nivelurile de risc acceptate pentru realizarea obiectivelor stabilite, astfel încât

să se justifice continuitatea activităţii.
În activitatea auditorului intern, ar putea fi avute în vedere, cel puţin
pentru realizarea imediată a obiectivelor de activitate şi performanţă, riscuri
acceptate privind:
 afectarea reputaţiei organizaţiei;
 acţiuni în dauna oamenilor (populaţiei sau a angajaţilor – legate de
exemplu de protecţia mediului);
 nerespectarea conformităţii cu reglementările în vigoare, amenzi sau
sancţiuni financiare sau contractuale;
 denaturări semnificative în situaţiile financiare;
 frauda sau alte acte ilegale;
 impedimente semnificative pentru atingerea obiectivelor strategice
ale organizaţiei.
Auditorul intern nu decide asupra soluţionării riscurilor!34
5.4. Structurarea dosarelor de audit intern –

documentarea activităţii de audit intern
Organizarea dosarelor de audit intern este o responsabilitate in-
ternă a coordonatorului activităţii de audit intern şi derivă din compe-
tenţele profesionale, precum şi din criteriile etice ale profesioniştilor angajaţi
în misiune. Păstrarea unor dosare ordonate, cu o informaţie transparentă şi
uşor de parcurs, permite un proces uşor de urmărire/revizuire, găsirea infor-
maţiilor/recomandărilor în timp şi asigură respectarea criteriilor de calitate
cerute de IIA.
Modalitatea de structurare a dosarelor interne însă depinde
de raţionamentul profesional.
Documentarea şi arhivarea activităţii de audit intern sunt un punct
important, care trebuie detaliat în Manualul de Politici şi Proceduri Interne
al fiecărei firme de audit sau compartiment de audit intern, ca metodologie,
pentru a asigura transpunerea unitară a metodologiei atât în timp, cât şi
unitar/consecvent, pe toţi clienţii de audit intern.
34 IIA-Implementation Guides.
Astfel, se recomandă folosirea unor dosare cu conţinut distinct şi

impunerea unor drepturi de acces diferit pentru membrii echipei de audit sau
a altor terţe părţi interesate.
Un exemplu ar putea fi următoarea structură aferentă unei misiuni de
audit intern:
a. DOSAR GENERAL (conţine informaţii colectate pe
durata unui ciclu operaţional de minim 3 ani). Acest
dosar poate conţine , ca secţiuni:
I. Rapoartele finale emise – se vor arhiva toate rapoar-
tele originale finale, semnate, emise de către structura de
audit intern, precum şi alte rapoarte de interes pentru
derularea misiunii
II. Planurile multianuale/anuale de audit şi comuni-
cările cu conducerea pe această temă
III. Evaluare de riscuri – este secţiunea dedicată cunoaşterii
clientului şi evaluării preliminare a sistemului de control
intern. Aici se pot include detalii despre Matricea de Risc
a Clientului, informaţii referitoare la managementul
riscurilor sau propriile foi de lucru efectuate în faza
preliminară de evaluare a riscurilor şi elaborare a Planului
Strategic/Anual.
Este o secţiune importantă pentru că se actuali-
zează de fiecare dată când vor fi schimbări
interne în cadrul sistemului de control intern.
În practică este posibil ca această secţiune să fie clasată
într-un dosar separat.
IV. Administrarea activităţii – aici se vor include infor-
maţii ca de pildă: contractul încheiat, declaraţiile speciale
emise către client (dacă există), Carta de audit, discuţiile
preliminare de cunoaştere a clientului, bugetele de timp şi
financiare aferente misiunii etc.
V. Revizuirea generală a activităţii – aici se vor include
programele de revizuire a calităţii, comunicări ulterioare
încheierii misiunilor de audit intern, procesul de evaluare
anuală etc.
b. DOSAR DE MISIUNE (doar pentru o misiune) – va fi dosarul
care se va referi strict la misiunile de audit intern, pornind de la
Planul anual agreat cu organizaţia auditată, şi care va păstra
toată documentaţia de audit şi foile de lucru, conform meto-

dologiei de audit.
Fiecare dosar va conţine o secţiune cu raportul emis spre
discutare şi observaţiile structurilor auditate, comunicarea şi
acceptarea riscurilor şi urmărirea (follow-up) implementării.
Dosarul de misiune se va considera închis şi revizuit
pentru calitate atunci când va conţine, completat/semnat,
chestionarul de revizuirea misiunii (Anexa 15) şi pe cel de
îmbunătăţire a calităţii (Anexa 17).
Dosarul de Misiune se poate împărţi în subsecţiuni şi
acestora să li se aloce referinţe, similare celor utilizate în
activitatea de audit (de tip letric/numeric). Metodologia de
referenţiere trebuie să fie documentată în Manualul intern de
Politici, pentru informarea membrilor echipei de audit intern.
Având în vedere că misiunile diferă de la un client la alt
client, este dificil de sugerat o structură foarte specifică. Acest
aspect rămâne în decizia coordonatorului structurii de audit
intern
Menţionăm că în cursul misiunilor de audit intern este posibil ca
informaţiile colectate să conţină date cu caracter personal (GDPR).
Deşi nu este un procesator de date, totuşi, datorită arhivării datelor în
dosarele interne, recomandăm ca auditorul intern să limiteze accesul altor
persoane neautorizate la informaţiile colectate şi să se asigure de protecţia
acestor date, conform prevederilor legale referitoare la protecţia datelor cu
caracter personal.
Capitolul 6. Programul de asigurare şi îmbunătăţire a calităţii 119
Capitolul 6. PROGRAMUL DE ASIGURARE

ŞI ÎMBUNĂTĂŢIRE A CALITĂŢII
Coordonatorul activităţii de audit intern trebuie să elaboreze şi să

actualizeze un program de asigurare şi îmbunătăţire a calităţii, care să acopere
toate aspectele activităţii de audit intern în conformitate cu prevederile
Standardului International pentru Practica Profesională a Auditului Intern
1300-Programul de asigurare şi îmbunătăţire a calităţii.
Acest program se recomandă a fi elaborat la începutul misiunii de audit
intern şi să fie adus la cunoştinţă echipei de audit intern (pentru a se cunoaşte
criteriile de calitate urmărite intern).
Se recomandă ca, periodic, cel puţin o dată pe an, coordo-
natorul activităţii de audit intern să revizuiască activitatea sa şi să
centralizeze observaţiile într-un chestionar general, centralizator
pentru întreaga activitate, ca o autoevaluare (astfel, în cazul
compartimentului de audit intern acesta va servi ca autoevaluare
pentru organizaţia în sine; în schimb, la un furnizor extern de
servicii de audit intern, va folosi pentru maniera de derulare
unitară, pentru toţi clienţii).
Un model de program de asigurare şi îmbunătăţire a calităţii activităţii
de audit intern (PAIC) este prezentat în Anexa 17 din Ghid.
6.1. Rolul programului de îmbunătăţire

a calităţii
Programul de asigurare şi îmbunătăţire a calităţii are rolul de a
permite o evaluare a conformităţii activităţii de audit intern cu:
 Standardele Internaţionale pentru Practica Profesională a
Auditului Intern;
 Codul de Etică.
În practică, procedurile privind asigurarea şi îmbunătăţirea calităţii
activităţii de audit intern elaborate de auditorii interni trebuie să cuprindă
aspecte privind modul de elaborare şi implementare a programului de

asigurare şi îmbunătăţire a calităţii activităţii de audit intern.
Prin elaborarea programului de asigurare şi îmbunătăţire a calităţii
activităţii de audit intern se evaluează eficienţa şi eficacitatea activităţii
de audit intern şi se identifică oportunităţile de îmbunătăţire.
6.2. Monitorizare internă şi evaluare

Programul de asigurare şi îmbunătăţire a calităţii trebuie să includă atât
evaluări interne, cât şi externe în conformitate cu Standardul Inter-
naţional pentru Practica Profesională a Auditului Intern 1310 – Cerinţele
Programului de Asigurare şi Îmbunătăţire a Calităţii.
În conformitate cu Standardul International pentru Practica Profe-
sională a Auditului Intern 1311- Evaluările interne, evaluările interne
trebuie să includă:
 Monitorizarea continuă privind desfăşurarea activităţii de audit
intern;
 Chestionare de evaluare trimise către conducerea superioară a
organizaţiilor auditate
 Autoevaluări periodice sau evaluări realizate de alte persoane
din cadrul organizaţiei, care posedă suficiente cunoştinţe privind
practicile de audit intern.
6.2.1. Monitorizarea continuă

Monitorizarea continuă face parte integrantă din activitatea zilnică de
supervizare, verificare şi măsurare a activităţii de audit intern. Monitorizarea
continuă este încorporată în politicile şi practicile curente, utilizate pentru a
conduce activitatea de audit intern şi presupune folosirea unor procese,
instrumente şi informaţii considerate necesare pentru a evalua conformitatea
cu Codul de Etică şi Standardele.
În vederea asigurării monitorizării continue a activităţii de audit intern,
coordonatorul activităţii de audit intern va întocmi pentru fiecare misiune un
chestionar de revizuire finală şi verificare a calităţii misiunii de audit
intern, conform modelului prezentat în Anexa 15.
Acest document se va clasa în dosarul misiunii respective şi completarea
sa finală de către coordonatorul misiunii se va considera dovada respectării
cerinţelor de închidere şi revizuire a calităţii pe activitatea de audit intern
respectivă.
6.2.2. Chestionarele de evaluare

Anual sau periodic, dar nu mai târziu de încheierea ciclului operaţional
de audit intern de 3 ani, se va proceda la emiterea unui chestionar de
evaluare a activităţii de audit intern.
Acest chestionar se va trimite de către coordonatorul activităţii de audit
intern conducerii superioare a organizaţiei auditate în vederea obţinerii unui
punct de vedere care să ajute în procesul de asigurare şi îmbunătăţire a
calităţii.
O astfel de evaluare, dacă este obiectivă şi corectă, poate ajuta foarte
mult în procesul de asigurare a calităţii în serviciile de audit intern prestate şi
impunere a transparenţei în comunicarea dintre auditorul intern şi condu-
cerea superioară.
Cu siguranţă însă pot exista şi dezavantaje aferente faptului că orice
evaluare nu poate fi obiectivă şi ca atare coordonatorul de audit intern trebuie
să dea dovadă de înţelepciune, integritate şi obiectivitate în evaluarea
răspunsurilor primite ulterior.
Toate răspunsurile primite se vor centraliza şi în urma concluziilor
obţinute se va proceda la îmbunătăţirea sistemului intern de calitate a
structurii de audit intern (fie prin modificări în abordarea de audit, fie prin
ameliorarea comunicării, fie prin schimbări în echipă, fie prin îmbunătăţirea
competenţelor profesionale.
Modelul de evaluare este inclus în Anexa 18 la prezentul Ghid.
Menţionăm că aceste chestionare trimise (inclusiv dovada trimiterii) şi
răspunsurile primite, împreună cu Programul de Asigurare a Calităţii din
Anexa 17, completat şi semnat de coordonatorul structurii auditate, se vor
stoca în dosarul de calitate al structurii de audit intern.
6.3. Indicatorii de performanţă urmăriţi în procesul

de monitorizare continuă
Indicatorii de performanţă («KPI» sau „Key Performance
Indicators”) utilizaţi în măsurarea calităţii activităţii de audit intern, dar fără a
ne limita la aceştia, sunt prezentaţi mai jos.
EXEMPLE DE INDICATORI DE PERFORMANŢĂ UTILIZAŢI ÎN

EVALUAREA CALITĂŢII ACTIVITĂŢII DE AUDIT INTERN
SCOP INDICATORI / RECOMANDĂRI
Măsurarea performanţe-
lor auditului intern, care
trebuie să vizeze valoarea
adăugată şi îmbunătăţirile
aduse, conform componentelor
modelului IIA-criterii pentru
măsurarea activităţii de audit
intern35
 Resursele umane utilizate în Experienţă-competenţă
activitatea de audit intern  Experienţa personalului în audit (nr. mediu de
ani experienţă)
 Număr ore/zile pregătire pe auditor
 Grad de realizare plan de pregătire profesională
 Proporţia auditorilor interni calificaţi
 Satisfacţia profesională – activităţile specifice
 Fluctuaţia personalului auditor
 Eficacitatea activităţii de  Numărul constatărilor de audit semnificative
audit intern (atenţie în monitorizare la subiectivism şi la
tendinţa de a „vâna erori”)
 Procentul recomandărilor acceptate
(independent de audit versus experienţa
auditorului în formularea de recomandări)
 Economii realizate în urma auditului (dificil de
estimat uneori)
 Numărul constatărilor care se repetă (poate
depinde de tonul la vârf)
 Numărul proceselor (operaţiunilor…)
îmbunătăţite (dificil de estimat)
 Calitatea actului de audit  Numărul solicitărilor de misiuni din partea
intern conducerii (poate fi un indicator privind
calitatea analizei riscului pentru elaborarea
planului de audit)
 Timpul mediu de răspuns la solicitările de
misiuni ale managementului
 Gradul de satisfacţie a beneficiarilor misiunilor
de audit (dificil de estimat uneori – chestionar
de satisfacţie)
 Numărul obiecţiilor formulate privind auditul
intern (poate depinde de tonul la vârf)
 Raportarea activităţii de  Număr rapoarte de audit emise
audit intern  Durata medie a auditului
 Durata medie a testării
Economicitate Minimizarea costului resurselor alocate pentru
atingerea rezultatelor estimate ale unei activităţi,
35 The Institute of Internal Auditors – Quality Assessment Manual, 6th Edition, 2009.
SCOP INDICATORI / RECOMANDĂRI

cu menţinerea calităţii corespunzătoare a acestor
rezultate
Are în vedere procurarea resurselor (personal,
materiale etc.) la preţuri cât mai mici
Eficienţă Reprezintă maximizarea rezultatelor unei
activităţi în relaţie cu resursele utilizate
 Maximizare rezultate cu acelaşi nivel de
resurse
 Minimizare resurse folosite pentru un nivel al

rezultatului
 Modificare proces (modernizare, reducere

număr operaţii)
 Să obţinem cât mai mult din utilizarea
resurselor avute la dispoziţie
 Exemplu: creşterea productivităţii muncii cu
10%
Eficacitate  Reprezintă gradul de îndeplinire a obiectivelor
programate pentru fiecare dintre activităţi şi
raportul dintre efectul proiectat şi rezultatul
efectiv al activităţii respective
 Au fost atinse obiectivele stabilite?
 S-a obţinut impactul dorit?
6.4. Evaluări externe de calitate

Evaluările externe trebuie realizate cel puţin o dată la 5 ani, de către
un evaluator calificat independent sau de către o echipă de evaluare
din afara organizaţiei, conform Standardul Internaţional pentru Practica
Profesională a Auditului Intern 1312 – Evaluările externe.
Evaluările externe pot fi realizate prin intermediul unei evaluări externe
complete sau printr-o autoevaluare cu validare independentă externă.
Evaluatorul extern trebuie să concluzioneze asupra conformităţii cu Codul de
etică şi cu Standardele; evaluarea externă poate include şi comentarii de
natură operaţională sau strategică.
Un evaluator sau o echipă de evaluare calificată demonstrează

competenţă în două domenii: în practica profesională a auditului
intern şi în procesul de evaluare externă. Competenţa poate fi demonstra-
tă prin combinarea experienţei şi cunoştinţelor teoretice dobândite. Expe-
rienţa dobândită în organizaţii având mărime, complexitate, sector sau
domeniu de activitate similare, precum şi aspectele tehnice sunt mai impor-
tante decât o experienţă relevantă, dar mai redusă.
În cazul unei echipe de evaluare, fiecare membru în parte nu trebuie să
deţină toate competenţele; echipa în sine, ca întreg, trebuie să deţină cali-
ficările necesare. Coordonatorul activităţii de audit intern aplică raţionamentul
profesional pentru a aprecia dacă evaluatorul sau echipa de evaluare au
competenţa necesară.
Independenţa unui evaluator sau a unei echipe de evaluare presupune ca
aceştia să nu aibă un conflict de interese, în fapt sau în aparenţă, şi să nu
facă parte sau să se afle sub controlul organizaţiei a cărei activitate de audit
intern este evaluată.
a) În cazul în care structura de audit intern este internalizată,
având în vedere nevoia de transparenţă şi evitarea conflictelor de
interese aparente sau potenţiale, coordonatorul structurii ar trebui să
încurajeze supravegherea procesului de evaluare externă de către
consiliul de administraţie.
În fapt, coordonatorul structurii de audit intern trebuie să discute cu
conducerea superioară despre:
 Modalitatea şi frecvenţa evaluării externe; şi
 Calificările şi independenţa necesare evaluatorului extern sau
echipei de evaluare, inclusiv orice eventual conflict de interese.
b) În cazul în care structura de audit este externalizată, posi-
bilitatea implicării conducerii superioare a fiecărei organizaţii
auditate în procesul de evaluare ridică o problemă logistică în ceea ce
priveşte buna funcţionare a auditorului intern, acesta trebuind să
găsească un evaluator independent care să fie validat de toate
organizaţiile auditate.
În practică, opinăm că prin asumarea contractuală coordonatorul
structurii de audit intern îşi asumă responsabilitatea îndeplinirii
Standardelor Internaţionale şi ca atare va decide asupra selectării
unui evaluator independent, cu o calificare relevantă şi care poate
efectua această revizuire fără a prejudicia poziţionarea în piaţă a
niciunei părţi implicate şi fără a leza interesele economice.
Un aspect important de reţinut este că în România, conform cadrului

legal aplicabil, organismul de reglementare pentru activitatea de audit
intern este CAFR. Ca atare, prin Normele interne, CAFR
poate efectua o dată la 3 ani o revizuire a sistemului intern
de calitate al membrilor săi şi va verifica respectarea Normelor
profesionale de către aceştia.
Această revizuire poate concluziona asupra conformităţii sistemului
de calitate cu cerinţele Standardelor internaţionale de audit intern
numai în măsura în care misiunea de revizuire se face în acord cu
cerinţele Standardului 1321 „Utilizarea sintagmei «în conformitate
cu Standardele internaţionale pentru practica profesională a
auditului intern»”.
Auditorii interni externalizaţi vor raporta conducerii superioare a
organizaţiei auditate (beneficiarul serviciilor de audit intern) despre
rezultatele evaluărilor externe, deoarece în final aceasta este
responsabilă de buna funcţionare a funcţiei de audit intern în cadrul
organizaţiei în sine.
6.5. Autoevaluarea
Ca urmare a procesului intern de evaluare şi monitorizare a calităţii,
coordonatorul de audit intern emite o autoevaluare – respectiv o declaraţie de
conformitate cu Standardele IIA, după modelul inclus în Anexa 19.
Această autoevaluare este un instrument de autoevaluare internă care
obligă etic şi moral coordonatorul structurii de audit intern să declare corect
care este statusul de calitate al structurii pe care o reprezintă.
Declaraţia din Anexa 19 se va completa la cerere, doar în cazul unei
evaluări externe, când terţa parte va cere o astfel de declaraţie sau când există
un audit de conformitate a calităţii de la autoritatea de reglementare.
Pentru fiecare element din declaraţia de autoevaluare, coordonatorul
structuri de audit intern va completa nivelul de conformare aferent:
 Nivelul 1 – „se conformează, în general”, este cel mai înalt
nivel de asigurare şi indică faptul că activitatea de audit intern
are un statut, proceduri interne şi metodologii care sunt
considerate a fi în conformitate cu Standardele Internaţionale
pentru Practica Profesională a Auditului Intern. Cu toate acestea,
pot exista unele oportunităţi de îmbunătăţire cu privire la
activitatea desfăşurată.
 Nivelul 2 – „parţial conform” indică faptul că echipa de

evaluare a ajuns la concluzia că sunt realizate toate demersurile
necesare conformării cu cerinţele Standardelor Internaţionale
pentru Practica Profesională a Auditului Intern, însă există
condiţii semnificative de îmbunătăţire cu privire la activitatea
desfăşurată;
 Nivelul 3 – „neconformă/nu se conformează” indică
faptul că deficienţele identificate în urma misiunii de autoeva-
luare a calităţii activităţii de audit intern sunt considerate a fi atât
de semnificative încât afectează în mod serios sau împiedică
realizarea activităţii de audit intern, în totalitate sau în zone
semnificative ale responsabilităţilor sale.
De asemenea, vor fi prezentate distinct oportunităţi de îmbunătăţire cu
privire la activitatea desfăşurată şi situaţiile de neconformitate, dacă este
cazul.
La final se va concluziona asupra autoevaluării generale, ca o medie a
nivelelor declarate.
Atragem atenţia asupra faptului că, în baza Standardului 1321, coor-
donatorul nu va putea concluziona cu sintagma „conform cu standardele
internaţionale de audit intern” întrucât respectarea trebuie să fie 100% pe
toate ariile.
6.6. Comunicarea rezultatelor evaluării

Coordonatorul activităţii de audit intern trebuie să comunice, conducerii
superioare şi consiliului organizaţiei rezultatele programului de asigurare şi
îmbunătăţire a calităţii conform cerinţelor Standardului Internaţional pentru
Practica Profesională a Auditului Intern 1320 – „Raportarea privind
Programul de Asigurare şi Îmbunătăţire a Calităţii”.
Un asemenea raport ar trebui să includă:
 Sfera de cuprindere şi frecvenţa atât a evaluărilor interne, cât şi
externe.
 Calificările şi independenţa evaluatorului(or) sau ale echipei de
evaluare, inclusiv potenţialele conflicte de interese.
 Concluziile evaluatorilor.
 Planurile de măsuri corective.
Forma, conţinutul şi frecvenţa comunicării rezultatelor programului de
asigurare şi îmbunătăţire a calităţii sunt stabilite în urma discuţiilor cu con-
ducerea superioară şi cu consiliul şi au în vedere responsabilităţile activităţii

de audit intern şi ale coordonatorului activităţii de audit intern, aşa cum sunt
acestea menţionate în carta (statutul) auditului intern.
Pentru a demonstra conformitatea cu Codul de Etică şi Standardele,
rezultatele evaluărilor externe şi ale evaluărilor interne periodice sunt
centralizate şi diseminate ca rezultat, după finalizarea lor, în interiorul
structurii de audit intern, de către coordonatorul misiunii.
În cazul structurilor de audit internalizate, acestea pot informa
conducerea superioară despre procesul de evaluare şi rezultatele obţinute,
măsurile de îmbunătăţire luate .
În consecinţă, măsurile de îmbunătăţire a calităţii trebuie să fie corelate
cu aceste instrumente de evaluare şi implementarea lor să fie imediat
ulterioară observării posibilelor deficienţe de calitate.
În cazul structurilor de audit externalizate, acest proces de
îmbunătăţire a calităţii este o responsabilitate profesională, o asumare
contractuală şi a cărei nerespectare poate atrage riscuri reputaţionale atât
pentru auditorul intern, cât şi pentru clientul pentru care auditorul a prestat
servicii de audit intern neconform cu Standardele IIA.
Capitolul 7. ANEXE
Abrevieri
 CA – Consiliul de Administraţie
 CdA – Comitetul de Audit
 CD – Consiliul Director
 AGA – Adunarea Generală a Acţionarilor (Asociaţilor)
 CEO – Chief Executive Officer
 DG – Director General / Director Executiv
 Adm – Administrator
Anexa 1 131
Anexa 1: Model Contract prestări servicii de audit

intern (în cazul externalizării)
– MODEL –
(se recomandă ca acest model să fie atent revizuit de departamentul
juridic al organizaţiei sau de avocaţii firmei de audit)
(antet) FIRMA DE AUDIT /

COORDONATORUL ACTIVITĂŢII DE AUDIT INTERN 36
Nr. RPE37 ……..
CONTRACT DE PRESTĂRI SERVICII

PENTRU ACTIVITATEA DE AUDIT INTERN
Încheiat astăzi ………...., între:
Societatea……………..., cu sediul în …...., înregistrată în România la

Registrul Comerţului sub nr……., cod fiscal ……………….., reprezentată legal
prin………………….., în calitate de …………………..., denumit în continuare
BENEFICIAR, pe de o parte
şi
SOCIETATEA/PFA/PFI……………………….., cu sediul în ………………,
înregistrată la Registrul Comerţului sub nr. …………….., cod unic de înregistrare
(CUI) ………………., firmă de audit / auditor financiar, înscris în Registrul
Public Electronic cu autorizaţie nr. …….., membru activ al Camerei Auditorilor
Financiari din România (CAFR), reprezentată legal prin auditor financiar
………………….., înscris în Registrul Public Electronic cu nr. …….., membru activ
al Camerei Auditorilor Financiari din România (CAFR), în calitate de
…………………………., denumit în continuare PRESTATOR, pe de altă parte.
36 Care poate fi coordonatorul structurii de audit intern sau al altei structuri ce asigură
această funcție, un auditor financiar independent sau o firmă de audit către care s-
au externalizat serviciile de audit intern.
37 Registrul Public Electronic al Auditorilor Financiari și Firmelor de Audit din
România.
Articolul 1: OBIECTUL CONTRACTULUI

1.1 Obiectul prezentului contract constă în furnizarea de servicii de
audit intern, conform cadrului legal aplicabil în România şi reglementărilor
emise de CAFR.
1.2 Obiectul prezentului contract se va îndeplini conform Articolului 3
din prezentul document.
Articolul 2: DURATA PRESTĂRII SERVICIILOR

2.1. Serviciile menţionate în prezentul contract vor fi prestate pe durata
unui ciclu operaţional de audit intern de minim 3 ani financiari, începând cu
data de …………………..
Contractul se va putea prelungi automat, pentru o perioadă de încă 3 ani,
dacă părţile nu convin altfel. Orice modificare a duratei se va face cu Act
Adiţional la prezentul contract.
2.2. Articolul 7.7. va continua să producă efecte şi în cazul expirării
duratei prestării serviciilor menţionate la pct. 2.1., precum şi în cazul rezilierii
sau anulării prezentului contract pentru orice motive.
Articolul 3: DESCRIEREA AUDITULUI INTERN ŞI RAPORTAREA

3.1. În prezentul contract, auditul intern reprezintă „activităţi independen-
te de asigurare obiectivă sau de consiliere, destinate să adauge valoare şi să îmbu-
nătăţească operaţiunile BENEFICIARULUI. Activităţile de audit intern ajută o
organizaţie în îndeplinirea obiectivelor sale printr-o abordare sistematică şi
metodică care evaluează şi îmbunătăţeşte eficacitatea proceselor de management
al riscului, control şi guvernanţă”, conform definiţiei din Normele obligatorii din
Cadrul internaţional de practici profesionale ale auditului intern, emise de
Global IIA – The Institute of Internal Auditors – Institutul Internaţional al
Auditorilor Interni., asimilate de Camera Auditorilor Financiari din România.
3.2. Obiectivele auditului intern constau în:
a) verificarea conformităţii activităţilor din organizaţia auditată cu
politicile, programele şi managementul acesteia, potrivit preve-
derilor legale;
b) evaluarea gradului de adecvare şi aplicare a controalelor finan-
ciare şi nefinanciare dispuse şi efectuate de către conducerea
unităţii în scopul creşterii eficienţei activităţii;
c) evaluarea gradului de adecvare a datelor/informaţiilor financiare
şi nefinanciare destinate conducerii pentru cunoaşterea realităţii
în organizaţia economică;
Anexa 1 133
d) protejarea elementelor patrimoniale şi sprijinirea în identificarea

metodelor de prevenire a fraudelor şi pierderilor de orice fel.
e) serviciile de audit intern se derulează în conformitate cu stan-
dardele de calitate şi de performanţă emise de IIA.
3.3. În cadrul organizării funcţionale a BENEFICIARULUI, funcţia de
audit intern trebuie să fie independentă, permanentă şi eficace, va fi
evidenţiată distinct în structura organizaţională a BENEFICIARULUI şi va
avea în vedere următoarele:
(1) Evaluarea nivelului de calitate al cadrului aferent controlului
intern privind eficienţa şi eficacitatea;
(2) Evaluarea conformării tuturor activităţilor cu politicile şi
procedurile, fără a fi componentă sau combinaţie cu orice altă
funcţie din cadrul organizaţiei.
(3) Evaluarea modului în care politicile şi procedurile existente la
nivelul organizaţiei rămân corespunzătoare şi sunt conforme cu
reglementările aplicabile.
3.4. PRESTATORUL va furniza BENEFICIARULUI rapoartele de audit
intern periodice asupra structurilor interne auditate, conform Planului de
Audit agreat cu conducerea superioară a organizaţiei.
Acestea vor fi întocmite în limba română. Doar la solicitarea expresă a
organizaţiei, se poate decide livrarea într-o altă limbă străină de circulaţie
internaţională.
Raportul întocmit în limba română va prevala în orice situaţie.
Articolul 4: UTILIZAREA RAPORTULUI DE AUDIT INTERN

4.1. Raportul de audit intern este destinat pentru a fi utilizat în mod
exclusiv pentru uzul intern al BENEFICIARULUI.
4.2. Raportul de audit intern nu poate fi utilizat, publicat sau distribuit,
integral sau pe secţiuni, către alte terţe părţi, decât de Consiliul de Admi-
nistraţie, Comitetul de Audit sau Conducătorul structurii auditate, doar cu
permisiunea PRESTATORULUI acordată în mod expres asupra materialului
distribuit. PRESTATORUL nu va putea refuza în mod abuziv acordarea
consimţământului.
4.3. În măsura permisă de lege, PRESTATORUL nu acceptă şi nu îşi
asumă responsabilitatea decât faţă de Consiliul de administraţie, Comitetul de
Audit sau Conducătorul structurii auditate, în ansamblu.
Articolul 5: TARIFUL PRESTATORULUI ŞI PLATA ACESTUIA

5.1. Tariful PRESTATORULUI se calculează în funcţie de timpul petrecut
de personalul implicat în auditul intern, precum şi de nivelul de pregătire şi
gradul de răspundere al acestora.
5.2. În baza celor de mai sus, se estimează tariful PRESTATORULUI la
…………. lei lunar. Tariful nu include TVA.
5.3. Plata se va face pe baza facturii emise de PRESTATOR, lunar.
5.4. Facturile vor fi achitate în termen de X zile calendaristice de la
primirea acestora de către BENEFICIAR. În cazul nerespectării termenului
menţionat sau în cazul unei neplăţi, BENEFICIARUL poate datora PRESTA-
TORULUI penalităţi în cotă de X% DIN SUMA facturată.
5.5. Tariful are în vedere accesul şi cooperarea deplină a conducerii şi
personalului BENEFICIARULUI, existenţa unor evidente contabile corespun-
zătoare, precum şi întreaga disponibilitate a conducerii BENEFICIARULUI la
cererile de prezentare detaliată de informaţii solicitate la anumite date, nece-
sare pentru finalizarea auditului intern în termenul stabilit prin programul de
audit anual.
5.6. Orice activităţi efectuate de PRESTATOR la solicitarea BENEFI-
CIARULUI, legate de alte obiective decât cele menţionate în prezentul
contract, vor fi plătite de BENEFICIAR după tarifele obişnuite ale PRESTA-
TORULUI, în funcţie de poziţia şi experienţa personalului implicat. Termenii
de referinţă specifici, precum şi tariful pentru aceste activităţi vor fi convenite
anterior, prin act adiţional sau contract distinct (dacă este cazul), cu respec-
tarea principiului independenţei.
Articolul 6: OBLIGAŢIILE PĂRŢILOR

6.1 Obligaţiile PRESTATORULUI
6.1.1. PRESTATORUL va efectua o examinare obiectivă a ansamblului
activităţilor derulate de BENEFICIAR, în scopul furnizării unei evaluări
independente a managementului de risc, a controlului intern şi a proceselor de
guvernanţă.
6.1.2. PRESTATORUL va numi o persoană însărcinată cu ansamblul
relaţiilor dintre reprezentanţii BENEFICIARULUI şi ai PRESTATORULUI.
6.1.3. PRESTATORUL va utiliza personal calificat, angajaţi sau colabo-
ratori, cu nivelul de experienţă cerut de obiectul misiunii, precum şi cu o bună
cunoaştere a sistemului economic românesc şi a activităţii BENEFICIARULUI.
Anexa 1 135
6.1.4. PRESTATORUL poate utiliza serviciile prestate de sub-contractori

cu calificări corespunzătoare, conform cerinţelor Standardelor de Calificare
IPPF, în situaţia în care acest lucru este considerat necesar de către
PRESTATOR.
6.1.5. PRESTATORUL va respecta programul de lucru şi datele şedin-
ţelor care vor fi convenite împreună cu reprezentanţii BENEFICIARULUI.
Acestea vor putea fi modificate cu acordul ambelor părţi.
6.1.6. PRESTATORUL va întocmi rapoartele menţionate la articolul 3
din prezentul contract.
6.2 Obligaţiile BENEFICIARULUI.

6.2.1. BENEFICIARUL se obligă să plătească tariful în condiţiile prevă-
zute la articolul 5 al prezentului contract.
6.2.2. BENEFICIARUL va pune la dispoziţia PRESTATORULUI docu-
mente şi alte informaţii relevante considerate de către PRESTATOR suficiente
pentru efectuarea auditului intern. În acest sens BENEFICIARUL se obligă să
pună la dispoziţia PRESTATORULUI, la solicitarea acestuia, toate documen-
tele sale contabile, orice alte documente şi acte ale BENEFICIARULUI, inclu-
zând toate procesele verbale ale tuturor Adunărilor Generale ale Acţionarilor,
ale Consiliului de Administraţie şi ale Comitetului de Audit, precum şi
informaţiile şi explicaţiile necesare, solicitate de către PRESTATOR, în scopul
realizării obiectului prezentului contract.
BENEFICIARUL se obligă să permită accesul PRESTATORULUI la toate
documentele sau declaraţiile în legătură cu structura auditată. BENEFI-
CIARUL se obligă să permită PRESTATORULUI să discute în mod liber cu
orice persoană aflată în subordinea sau sub controlul său, care ar putea furniza
informaţii în vederea realizării obiectului prezentului contract.
6.2.3. BENEFICIARUL va pune la dispoziţie spaţii adecvate de lucru
pentru personalul PRESTATORULUI pe toată durata efectuării auditului intern.
6.2.4. BENEFICIARUL este responsabil pentru proiectarea, întreţinerea
unor proceduri de control care să asigure un nivel corespunzător de protecţie a
activelor. De asemenea, BENEFICIARUL este responsabil pentru definirea de
nivele de protecţie adecvate, pentru identificarea obiectivelor de control
corespunzătoare acestora şi pentru asigurarea realizării acestor obiective prin
procedurile de control existente.
6.2.5. BENEFICIARUL se obligă să numească un responsabil însărcinat
cu coordonarea ansamblului de relaţii între reprezentanţii PRESTATORULUI
şi cei ai BENEFICIARULUI.
6.2.6. BENEFICIARUL se obligă să respecte programul de lucru şi datele

şedinţelor care vor fi convenite împreună cu reprezentanţii PRESTATORU-
LUI. Acestea vor putea fi modificate cu acordul ambelor părţi.
Articolul 7: LIMITAREA RĂSPUNDERII PRESTATORULUI

7.1. PRESTATORUL nu răspunde pentru conformitatea sau neconfor-
mitatea raportului faţă de interesele generale sau specifice (legate de o
anumită tranzacţie) ale vreunui terţ. Activitatea PRESTATORULUI nu va fi
planificată sau desfăşurată din perspectiva aşteptărilor sau planurilor vreunei
terţe persoane ori a unei tranzacţii specifice planificate de BENEFICIAR.
7.2. În nici un caz, cuantumul despăgubirilor ce ar putea fi datorate de
PRESTATOR în baza răspunderii civile contractuale ca urmare a nerespectării
sau a îndeplinirii necorespunzătoare a obligaţiilor prevăzute în prezentul
contract nu poate depăşi suma egală cu tariful menţionat la Art. 5.2.
7.3. PRESTATORUL nu va fi ţinut răspunzător pentru eventualele daune
cauzate BENEFICIARULUI sau oricărui terţ ca urmare a folosirii informaţiilor
cuprinse în rapoartele întocmite de PRESTATOR, în baza prevederilor
prezentului contract. În nici un caz, sumele ce urmează a fi plătite cu titlu de
despăgubire nu pot depăşi suma ce urmează a fi plătită cu titlu de tarif pentru
serviciile prestate, suma menţionată în articolul 5 al prezentului contract.
7.4. Răspunderea PRESTATORULUI va fi angajată numai în caz de culpă
gravă sau dol. De asemenea, PRESTATORUL nu va fi obligat la plata despă-
gubirilor atunci când nu şi-a putut executa obligaţiile din cauza intervenirii
unui caz fortuit sau de forţă majoră.
7.5. În nici un caz, PRESTATORUL nu va răspunde pentru pierderi,
costuri sau cheltuieli determinate de sau în legătură cu neglijenţa sau
omisiunea, frauda ori de interpretări greşite sau greşeli intenţionate ale
BENEFICIARULUI, ori ale conducerii acestuia sau ale oricărei alte entităţi
conexe sau rezultând din orice documente frauduloase sau prezentări eronate
ce provin din partea BENEFICIARULUI sau reprezentanţilor săi şi care sunt
puse la dispoziţia PRESTATORULUI.
7.6. Activitatea desfăşurată de PRESTATOR pentru întocmirea
rapoartelor de audit intern va include eşantioane statistice ale tranzacţiilor şi
ale soldurilor semnificative. Semnificativ se defineşte ca fiind un eveniment
sau tranzacţie care ar putea influenţa deciziile economice ale beneficiarilor.
Articolul 8: RĂSPUNDEREA BENEFICIARULUI

8.1. BENEFICIARUL va răspunde pentru existenţa unor controale inter-
ne corespunzătoare, în scopul prevenirii şi detectării fraudelor, erorilor şi
neconformităţii cu legislaţia şi reglementările.
Anexa 1 137
Efectuarea de către PRESTATOR a auditului intern nu înlătură răspun-

derea BENEFICIARULUI în ceea ce priveşte modalităţile de implementare a
unor controale interne corespunzătoare şi a sistemului de management intern
corespunzător.
8.2. BENEFICIARUL va răspunde de luarea unor măsuri adecvate în
scopul implementării recomandărilor formulate în raportul de audit intern în
termenele de implementare stabilite sau asumarea riscului de a nu întreprinde
nicio măsură în scopul implementării recomandărilor.
Articolul 9: LIMITĂRI ALE AUDITULUI INTERN

9.1. Procedurile de audit intern efectuate în legătură cu obiectivele speci-
fice de control implică limitări inerente deoarece se efectuează pe bază de
eşantioane statistice şi, în consecinţă, pot exista erori sau nereguli care să nu
fie detectate. Procedurile de control nu pot garanta depistarea asocierii ilegale
sau improprii, în special a unor reprezentanţi ai BENEFICIARULUI deţinând
funcţii de conducere sau răspundere.
9.2. Responsabilitatea păstrării în siguranţă a activelor BENEFICIA-
RULUI, a existentei unor controale interne corespunzătoare, precum şi
prevenirea şi detectarea fraudelor, erorilor şi a neconformităţii cu legislaţia şi
reglementările revine BENEFICIARULUI. PRESTATORUL va planifica auditul
intern astfel încât să existe o probabilitate rezonabilă de a fi detectate erorile
materiale din sistemul auditat sau din evidenţele contabile, dar examinarea
PRESTATORULUI nu va putea detecta toate acele greşeli, fraude sau erori ori
cazuri de neconformitate semnificative ce pot exista.
9.3. PRESTATORUL va discuta cu structurile auditate din cadrul BENE-
FICIARULUI toate observaţiile din timpul misiunilor de audit şi va căuta să
găsească recomandările cele mai potrivite prin prisma obiectivelor organi-
zaţiei.
Articolul 10: CONFIDENŢIALITATEA

10.1. Părţile convin anticipat şi în mod expres să considere confidenţiale
toate informaţiile, datele şi documentele obţinute, legate de îndeplinirea
obiectului prezentului contract şi se obligă să nu le divulge sau să le transmită
terţilor pe toată durata prezentului contract şi pe o perioadă de 2 ani de la
terminarea acestuia, decât cu acordul scris al celeilalte părţi.
10.2. Părţile prezentului contract au obligaţia de a păstra faţă de terţe
părţi confidenţialitatea tuturor informaţiilor referitoare la relaţia lor contrac-
tuală, după cum se stipulează în contract. Părţile nu vor divulga informaţiile
contractuale decât cu acordul scris al celeilalte părţi. Dacă una din părţi
divulgă anumite informaţii şi prin acest fapt prejudiciază cealaltă parte
contractuală, prima parte va avea obligaţia de a plăti despăgubiri. Cu toate
acestea, PRESTATORUL va avea dreptul să menţioneze numele BENE-
FICIARULUI şi natura serviciilor prestate în documentele de marketing
întocmite de către acesta.
10.3. Prevederile alineatului precedent nu se aplică în cazul în care aceste
informaţii sunt publice sau sunt solicitate conform legii din România, fiind
aplicabilă în orice situaţie legea română.
Articolul 11: PROTECŢIA DATELOR CU CARACTER PERSONAL

PRESTATORUL, prin angajaţii proprii şi colaboratorii externi, garan-
tează că respectă legislaţia aferentă protecţiei datelor cu caracter personal,
inclusiv, dar fără a se limita la dispoziţiile Regulamentului (UE) 2016/679 al
Parlamentului European şi al Consiliului privind protecţia persoanelor fizice în
ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera
circulaţie a acestor date şi de abrogare a Directivei 95/46/CE („Regulamentul
general privind protecţia datelor cu caracter personal” sau GDPR).
PRESTATORUL va apăra şi va despăgubi BENEFICIARUL împotriva
tuturor cheltuielilor, costurilor şi pierderilor suportate de BENEFICIAR sau
pentru care BENEFICIARUL poate deveni răspunzător din cauza nerespectării
de către PRESTATOR a prevederilor Regulamentului general privind protecţia
datelor.
PRESTATORUL va notifica cu promptitudine BENEFICIARUL dacă
există orice suspiciune sau constată orice încălcare a securităţii datelor cu
caracter personal şi care sunt prelucrate de către FURNIZOR în numele sau pe
seama BENEFICIARULUI.
Termenii „Date cu caracter personal”, „Încălcarea securităţii datelor cu
caracter personal” şi „Prelucrarea” vor avea semnificaţia atribuită în legislaţia
naţională în vigoare, referitoare la GDPR.
Articolul 12: MODIFICAREA CONTRACTULUI

12.1. Prezentul contract poate fi modificat în baza unui act adiţional
semnat de ambele părţi contractante.
Articolul 13: ÎNCETAREA CONTRACTULUI

13.1. Prezentul contract încetează în următoarele cazuri:
Anexa 1 139
13.1.1. Prin acordul ambelor părţi;

13.1.2. Prin denunţarea unilaterală de către una din părţi; denunţarea îşi
produce efectele în termen de X zile lucrătoare de la data expedierii pe adresa
celeilalte părţi a unei notificări scrise, prin scrisoare recomandată cu
confirmare de primire;
13.1.3. Prin imposibilitatea îndeplinirii obiectului prezentului contract;
13.1.4. În cazul falimentului uneia sau ambelor părţi;
13.1.5. În celelalte cazuri expres prevăzute de legea română drept cazuri
de încetare a contractului.
13.2. În toate aceste cazuri, dacă legea nu dispune altfel, BENEFI-
CIARUL se obligă să plătească PRESTATORULUI tariful, calculat în
conformitate cu prevederile articolului 5 al prezentului contract, proporţional
cu serviciile prestate până în momentul prezentului contract.
Articolul 14: FORŢA MAJORĂ

14.1. Debitorul obligaţiilor contractuale va fi exonerat de executarea unor
asemenea obligaţii contractuale dacă executarea este împiedicată sau
întârziată de orice acţiune sau cauză mai presus de controlul uneia dintre părţi
şi pe care o asemenea parte nu a putut-o prevedea sau evita, cu condiţia ca
partea ale cărei obligaţii au fost efectuate, să informeze prompt, în termen de
maxim 120 ore de la producerea situaţiei de forţă majoră, cealaltă parte, asu-
pra unor asemenea cauze şi să depună toate eforturile de a-şi duce la înde-
plinire obligaţiile sale. Dacă situaţia de forţă majoră durează mai mult de 9
luni, prezentul contract va înceta. Sunt considerate cazuri de forţă majoră, fără
a se limita la următoarele: război, inundaţii, cutremure, condiţii meteorologice
periculoase, ordine ale autorităţilor de stat sau locale etc.
Articolul 15: COMUNICAREA PE SUPORT ELECTRONIC

15.1. Cu excepţia situaţiei în care BENEFICIARUL solicită în mod expres
prezentarea raportului de audit intern şi a celorlalte documente pe suport de
hârtie, PRESTATORUL va comunica BENEFICIARULUI toate documentele
realizate în executarea prezentului contract pe suport electronic.
15.2. Transmiterea electronică de informaţii nu este pe deplin sigură şi
nici lipsită de erori. Informaţiile transmise pe această cale pot fi interceptate,
modificate, pierdute, distruse, pot ajunge cu întârziere sau pot fi incomplete,
iar utilizarea lor poate ridica anumite riscuri. Ca urmare, deşi înainte de a
transmite informaţii pe suport electronic PRESTATORUL va pune în practică
proceduri rezonabile din punct de vedere comercial pentru a depista cei mai
cunoscuţi viruşi la momentul respectiv şi, fără a ţine seama de nici o garanţie,
atât PRESTATORUL, cât şi angajaţii, agenţii şi colaboratorii săi nu vor fi ţinuţi
responsabili de către BENEFICIAR din nici un motiv (independent de orice
alte prevederi ale acestui contract), fie că acesta este stipulat de contract, fie că
reprezintă un prejudiciu (inclusiv din neglijenţă) sau altfel, cu referire la orice
eroare sau omisiune rezultată din/sau în legătură cu comunicarea electronică
de informaţii către BENEFICIAR şi cu gradul de siguranţă al acestor informaţii
şi inclusiv (dar nu exclusiv) actele sau omisiunile furnizorilor de servicii ai
PRESTATORULUI. PRESTATORUL nu va fi scutit de o astfel de răspundere în
cazul unor acte, omisiuni sau interpretări eronate care reprezintă acte penale,
necinstite sau frauduloase din partea angajaţilor, agenţilor sau colaboratorilor
PRESTATORULUI.
15.3. În cazul în care informaţiile transmise se referă la aspecte care
prezintă o importanţă semnificativă pentru BENEFICIAR, este recomandabilă
solicitarea unei copii scrise a acestora de la PRESTATOR. În cazul în care
BENEFICIARUL doreşte ca PRESTATORUL să protejeze cu parolă toate sau
anumite documente transmise, BENEFICIARUL va comunica opţiunea sa
către PRESTATOR, pentru ca acesta să ia măsurile corespunzătoare.
Articolul 16: LEGEA CONTRACTULUI. ARBITRAJUL

16.1. Prezentul contract este guvernat de legea română.
16.2. Orice neînţelegere rezultată din valabilitatea, executarea şi inter-
pretarea prezentului contract va fi soluţionată în mod amiabil. Când aceasta
nu este posibilă, litigiul va fi depus spre soluţionare instanţelor competente
din jurisdicţia PRESTATORULUI, dezbaterile urmând să aibă loc în limba
română/engleză şi potrivit regulilor procedurale juridice.
Limba română este limba care prevalează în rapoartele emise şi ca atare
acestea se vor considera baza oricărei dispute.
Articolul 17: DISPOZIŢII FINALE

17.1. Toate notificările şi comunicările privind prezentul contract se vor
face în scris şi vor fi transmise la următoarele adrese:
- pentru BENEFICIAR: [persoana de contact], adresa …………………., fax
…………., telefon……………..
- pentru PRESTATOR: [persoana de contact], adresa ……………….., fax
………….., telefon……………..
Anexa 1 141
Orice schimbare a adreselor menţionate mai sus va fi notificată în scris

celeilalte părţi, în timp util.
Încheiat astăzi ………………….., la …………, în două exemplare, cu valoare

egală, câte unul pentru fiecare parte (PRESTATOR şi BENEFICIAR), părţile
garantând prin prezenta că reprezentanţii ale căror semnături apar mai jos au
fost şi sunt la data încheierii acestui contract legal investiţi să încheie prezentul
contract.
PRESTATOR BENEFICIAR
Anexa 2: Model Carta de audit intern
– MODEL –
(orientativ; se adaptează în funcţie de specificul activităţii de
audit intern şi complexitatea organizaţiei)
(antet) FIRMA DE AUDIT / COORDONATORUL ACTIVITĂŢII DE AUDIT

INTERN38
Nr. RPE39 ……..
Nr…………../ Data……………….
ORGANIZAŢIA …...................
APROBAT,
CONSILIUL DE ADMINISTRAŢIE,
Preşedinte…………….………………
CARTA AUDITULUI INTERN

ORGANIZAŢIA ____________________________
Cuprins:
Capitolul 1. Dispoziţii generale ________________________________
Capitolul 2. Misiunea şi obiectivele auditului intern
Capitolul 3. Principiile auditului intern
Capitolul 4. Tipuri de audit intern şi servicii de consultanţă/consiliere
Capitolul 5. Atribuţii şi responsabilităţi
Capitolul 6. Organizarea şi liniile de raportare-independenţa organizaţională
Capitolul 7 Responsabilităţile managementului
Capitolul 8. Asigurarea calităţii
Capitolul 9. Dispoziţii finale
38 Poate fi coordonatorul structurii de audit intern sau al altei structuri ce asigură

această funcție, un auditor financiar – prestator extern de servicii de audit intern
sau o firmă de audit către care s-au externalizat serviciile de audit intern.
39 Registrul Public Electronic al Auditorilor Financiari și Firmelor de Audit din
România.
Anexa 2 143
Versiunea X (luna / anul )
Capitolul 1. Dispoziţii generale
Activitatea de audit intern este organizată în cadrul …........................

[denumirea organizaţiei]______________ ca urmare a Hotărârii
…[structura de guvernanţă (AGA / CD CA – după caz)]- nr. __________ /
______________.
Structura de audit intern/ dezvoltă şi actualizează Carta de audit intern
care se aprobă de … [structura de guvernanţă-(AGA / CD / CA – după caz)].
Carta auditului intern reprezintă documentul oficial care guvernează
locul şi rolul auditului intern în cadrul ... [organizaţia], prezintă principalele
atribuţii şi responsabilităţi ale auditului intern.
Carta auditului intern stabileşte scopul şi sfera de activitate a auditului
intern, poziţia structurii de audit în cadrul organizaţiei, drepturile şi obligaţiile
coordonatorului activităţii de audit intern şi ale membrilor echipei de audit
intern, autorizează accesul la datele, informaţiile şi alte bunuri fizice ale struc-
turii auditate, care sunt necesare pentru realizarea activităţii de audit intern.
Capitolul 2. Misiunea şi obiectivele

auditului intern
Rolul auditului intern este de a oferi asigurare privind eficacitatea

sistemelor de management al riscurilor, de control şi de guvernanţă, să adauge
valoare şi să ofere recomandări pentru îmbunătăţirea operaţiunilor din cadrul
…[organizaţia] Auditul intern asistă conducerea structurii auditate în
realizarea obiectivelor stabilite de aceasta şi furnizează evaluări obiective şi
detaliate cu privire la legalitatea, regularitatea, economicitatea, eficienţa şi
eficacitatea activităţilor şi operaţiunilor desfăşurate.
Obiectivele activităţii de audit intern sunt:
 să asiste structurile de guvernanţă şi conducerea executivă 40 prin
furnizarea unei evaluări independente a eficienţei şi eficacităţii
40 În continuare vom folosi sintagma „director general”, dar peste tot în cuprinsul
Cartei se poate utiliza, de la caz la caz, director executiv, management executiv sau
altă denumire, în funcție de specificul organizației.
sistemului/cadrului de control intern, implementat de către

management;
 să evalueze buna administrare a fondurilor şi păstrarea patri-
moniului;
 să evalueze fiabilitatea sistemelor contabile şi informatice;
 să ofere asigurarea că politicile şi procesele organizaţiei sunt
respectate în cadrul tuturor activităţilor desfăşurate şi structu-
rilor implementate;
 să ofere asigurarea că politicile, procesele şi mecanismele de
control sunt revizuite, astfel încât acestea să rămână suficiente şi
adecvate activităţii desfăşurate de către organizaţie;
 să facă recomandări pentru îmbunătăţirea continuă a sistemului
de control intern, astfel încât acestea să funcţioneze cu eficacitate
optimă şi să fie eficiente din punct de vedere al costurilor,
reflectând practici de control adecvate;
 să ofere servicii de consultanţă/consiliere în cadrul proiectelor
coordonate de către structurile de guvernanţă sau de ……
[conducerea executivă], după caz, privind dezvoltarea de noi
programe, proceduri, sau privind evaluarea riscului operaţional
care poate rezulta în cazul unor schimbări semnificative;
 să promoveze o coordonare efectivă cu activitatea auditorului
extern în scopul de a reduce orice suprapunere a activităţilor.
Sfera de cuprindere a auditului intern include toate activităţile şi opera-
ţiunile desfăşurate de … [organizaţia], prin structurile organizatorice ale
acesteia aprobate prin intermediul ultimei organigrame în funcţiune. Ea
include şi furnizorii de servicii auxiliare şi conexe pentru activităţile
externalizate.
În concluzie, obiectivul general al auditului intern este de îmbunătăţire a
managementului structurilor auditate prin furnizarea de:
 activităţi de asigurare, care reprezintă examinări obiective ale
elementelor probante, efectuate cu scopul de a furniza struc-
turilor auditate o evaluare independentă şi obiectivă a proceselor
de management al riscurilor, de control şi de guvernanţă;
 activităţi de consiliere, menite să adauge valoare şi să îmbună-
tăţească procesele de guvernanţă din cadrul organizaţiilor
auditate.
Anexa 2 145
Capitolul 3. Principiile auditului intern
Structurile de guvernanţă şi conducerea executivă ale …[organizaţia] au

întreaga responsabilitate pentru stabilirea unui sistem de control intern
eficient şi adecvat dimensiunii şi complexităţii activităţilor desfăşurate de
organizaţie. Structurile de guvernanţă şi conducerea executivă sunt asistate în
realizarea responsabilităţilor de către funcţia de audit intern.
Funcţia de audit intern respectă toate principiile fundamentale ale
practicii profesionale.
Principiul de bază este că funcţia de audit intern este independentă şi are
un caracter permanent în cadrul ….[organizaţia]
3.1. Independenţa, obiectivitatea şi imparţialitatea auditului
intern
În activitatea desfăşurată, membrii echipei /personalul structurii de
audit intern trebuie să manifeste obiectivitate şi imparţialitate, pentru a
asigura astfel evitarea conflictelor de interese.
Activitatea de audit intern se exercită ca o funcţie distinctă şi inde-
pendentă faţă de activităţile organizaţiei. Prin atribuţiile sale, structura de
audit intern nu trebuie să fie implicată în elaborarea procedurilor de control
intern şi a procedurilor pe care urmează a le audita.
Următoarele reguli sunt aplicabile membrilor echipei/perso-

nalului structurii de audit intern:
 nu va audita activităţi sau funcţii desfăşurate sau deţinute
anterior decât după trecerea unei perioade de cel puţin 12 luni;
 nu va putea fi angrenat în operaţiuni ale organizaţiei, nu va putea
iniţia sau aproba operaţiuni care nu au legătură cu auditul intern;
 nu va proiecta sau implementa proceduri de control intern sau
orice alte proceduri ale organizaţiei;
 nu pot fi desemnaţi să efectueze misiuni de audit intern la o
structură din cadrul organizaţiei dacă se află în conflict de
interese41;
41 Conflict de interese – Orice relație care este sau pare să nu fie stabilită în inte-
resul organizației. Un conflict de interese ar prejudicia capacitatea unei persoane de
a-și îndeplini atribuțiile și responsabilitățile cu obiectivitate.
 nu trebuie să fie supus ingerinţelor (imixtiunilor) externe în ceea

ce priveşte definirea sferei sale de intervenţie, realizarea efectivă
a lucrărilor şi comunicarea rezultatelor;
 nu va superviza activitatea niciunui departament, birou, com-
partiment sau structură teritorială.
Fără a prejudicia obiectivitatea şi imparţialitatea auditului intern, la
cererea conducerii …….[organizaţia], …. personalul structurii de audit intern
poate să exprime opinii legate de modul în care principiile de control intern
sunt respectate în unele situaţii specifice, cum ar fi: reorganizări de amploare,
demararea unor noi activităţi importante sau riscante, constituirea sau
reorganizarea sistemului de control al administrării riscurilor, sistemului
informaţional, diverse aspecte legate de implementarea anumitor contracte
etc.
3.2. Integritatea şi competenţa profesională
În scopul asigurării integrităţii şi competenţei profesionale, personalul
structurii de audit trebuie:
 să fie competent din punct de vedere profesional, respectiv să fie
bine informat în domeniul auditului intern; să fie capabil şi în
măsură să judece un anumit lucru;
 să dispună de cunoştinţele şi experienţa necesară îndeplinirii
atribuţiilor ce îi revin;
 să aibă un standard etic înalt, să fie corect, onest şi incoruptibil;
 să respecte cerinţele prevederilor legale şi ale Codului de con-
duită etică.
Coordonatorul activităţii de audit intern va urmări sporirea cunoştin-
ţelor şi abilităţilor profesionale, precum şi a experienţei membrilor echipei
/personalului prin pregătirea şi dezvoltarea profesională continuă a acestuia,
prin expunerea personalului, pe cât posibil, la diverse tipuri de angajamente şi
responsabilităţi de audit, asigurând rotaţia personalului pe misiuni. În situaţia
externalizării funcţiei, auditorul intern (firma de audit sau auditor financiar
activ) va desemna în echipă auditori sau experţi care au o pregătire şi
experienţă corespunzătoare.
Coordonatorul activităţii de audit intern (persoana cu responsabilitate
finală) va solicita aprobarea … [structura de guvernanţă] sau conducerii
executive în vederea obţinerii de consultanţă şi asistenţă competentă, dacă
personalul acestuia are nevoie de cunoştinţe, deprinderi sau alte competenţe
necesare îndeplinirii totale sau parţiale a unui angajament de audit intern.
Anexa 2 147
3.3. Confidenţialitatea informaţiilor şi protecţia datelor cu

caracter personal
Personalul structurii de audit trebuie să dea dovadă de prudenţă în
utilizarea informaţiilor colectate în exercitarea activităţii şi, totodată, să
asigure protejarea informaţiilor colectate în timpul misiunii, inclusiv a datelor
cu caracter personal, conform prevederilor legale în vigoare.
De asemenea, nu vor utiliza informaţiile dobândite pentru obţinerea
unor avantaje personale sau în orice mod care ar fi contrar prevederilor legale
sau în detrimentul intereselor ….. [organizaţia]
Capitolul 4. Tipuri de audit intern

şi servicii de consiliere
Structura de audit intern desfăşoară misiuni (numite şi angajamente) de

asigurare şi misiuni de consiliere (cunoscute şi sub numele de misiuni de
consultanţă).
În cadrul misiunilor de asigurare structura de audit desfăşoară urmă-
toarele forme de audit:
 auditul de conformitate (regularitate) are ca obiectiv
verificarea conformităţii cu legile, reglementările, politicile şi
procedurile aplicabile;
 auditul performanţei (operaţional) are ca obiectiv verificarea
calităţii şi adecvării sistemelor şi procedurilor, analiza critică a
structurii organizatorice, evaluarea adecvării metodelor, resurselor
şi a realizării rezultatelor în raport cu obiectivele stabilite;
 auditul sistemului de guvernanţă corporativă are ca
obiectiv evaluarea modului în care este exercitată funcţia de
conducere pentru îndeplinirea obiectivelor organizaţiei.
Auditul intern poate oferi, în limita standardelor şi normelor auditului
intern, următoarele tipuri de servicii de consiliere:
 angajamente de consiliere formală – planificate şi concre-
tizate într-un document scris;
 angajamente de consiliere informale – activităţi de rutină,
cum ar fi: participarea la comitete permanente, grupuri sau
echipe de lucru, proiecte pe durată limitată, întruniri ad-hoc şi
schimb de informaţii;
 angajamente de consiliere speciale – participarea într-o

echipă stabilită pentru redresarea sau menţinerea activităţilor
după un dezastru sau alt eveniment extraordinar ori într-o echipă
desemnată să acorde sprijin temporar pentru îndeplinirea unei
cerinţe speciale. Auditul intern nu va putea agrea desfăşurarea
unui angajament de consiliere care determină sustragerea de la
cerinţele normale aferente unui angajament de audit, dacă servi-
ciul respectiv ar fi mai bine desfăşurat ca misiune de asigurare.
Capitolul 5. Atribuţii şi responsabilităţi
Coordonatorul activităţii de audit intern are, în principal, următoarele

atribuţii:
 exprimă o opinie independentă asupra eficienţei şi gradului de
adecvare a sistemului de control intern al organizaţiei;
 evaluează funcţionalitatea şi gradul de adecvare a controalelor
interne specifice, precum şi implementarea acestora;
 evaluează modul de aplicare, precum şi eficienţa procedurilor de
administrare a riscurilor
 evaluează metodologiile utilizate de conducere pentru identi-
ficarea şi evaluarea riscurilor semnificative;
 evaluează relevanţa, credibilitatea, oportunitatea, acurateţea şi
integritatea datelor furnizate de sistemele informaţionale
financiare şi de gestiune, inclusiv de sistemul informatic;
 evaluează eficienţa operaţiunilor şi activităţilor desfăşurate de
organizaţie;
 evaluează modul în care sunt respectate prevederile cadrului
legal şi ale reglementărilor interne;
 testează, dacă se consideră necesar, integritatea, credibilitatea şi
oportunitatea raportărilor, inclusiv a celor destinate utilizatorilor
externi;
 urmăreşte modul de implementare a recomandărilor formulate,
aferente constatărilor din rapoartele de audit;
 participă în cadrul echipelor coordonate de către structura de
guvernanţă sau conducerea executivă pentru dezvoltarea de noi
Anexa 2 149
programe şi proceduri, cu scop consultativ, fără a aduce

atingere independenţei auditorului intern;
 participă în cadrul echipelor coordonate de către ……[structura
de guvernanţă] sau conducerea executivă pentru evaluarea
riscului operaţional care poate rezulta în cazul unor schimbări
semnificative în activitate, cu scop consultativ, fără a aduce
atingere independenţei auditorului intern;
 se asigură că se păstrează confidenţialitatea asupra tuturor
informaţiilor obţinute din angajamentele de audit planificate şi în
afara planului (prin politici, proceduri etc.);
 coordonează şi administrează activitatea de audit intern,
facilitând astfel îndeplinirea rolului de asistare a conducerii
organizaţiei în menţinerea şi îmbunătăţirea sistemului de control
intern.
Coordonatorul activităţii de audit intern (persoana cu responsabilitate
finală) trebuie să evalueze periodic dacă misiunea, competenţele şi
responsabilităţile definite în Carta auditului intern permit ca activitatea de
audit intern să îşi realizeze obiectivele în condiţii de eficienţă şi eficacitate.
Pentru fiecare misiune de audit intern efectuată, auditorul intern
întocmeşte un raport. Constatările rezultate vor fi raportate nivelului ierarhic
corespunzător la finele fiecărui angajament/misiune de audit. Rapoartele de
audit şi recomandările formulate vor fi prezentate comitetului de audit, acolo
unde acesta există, consiliului de administraţie/consiliului de supraveghe-
re/directoratului, potrivit sistemelor de conducere a societăţilor în România,
aşa cum sunt prevăzute în Legea societăţilor nr. 31/1990, republicată, cu
modificările şi completările ulterioare.
Capitolul 6. Organizarea
şi liniile de raportare
Coordonatorul activităţii de audit intern raportează către comitetul de

audit, acolo unde acesta există, consiliul de administraţie/consiliul de
supraveghere/directoratul, potrivit sistemelor de conducere a societăţilor în
România, aşa cum sunt prevăzute în Legea societăţilor nr. 31/1990, republi-
cată, cu modificările şi completările ulterioare, iar raportarea poate fi făcută
semestrial sau anual. Structura de audit întocmeşte o sinteză privind

principalele activităţi desfăşurate şi stadiul implementării recomandărilor
formulate, sinteză pe care o înaintează spre aprobare conducerii executive şi
spre informare consiliului director.
Activitatea de audit intern se desfăşoară pe baza unui plan anual, care
este aprobat de comitetul de audit, acolo unde acesta există, respectiv consiliul
de administraţie/consiliul de supraveghere/directorat, potrivit sistemelor de
conducere a societăţilor în România, aşa cum sunt prevăzute în Legea
societăţilor nr. 31/1990, republicată, cu modificările şi completările ulterioare.
Planul de audit intern este elaborat pe baza unei metodologii de evaluare a
riscurilor, priorităţilor stabilite de către conducerea organizaţiei, iar frecvenţa
angajamentelor de audit este determinată în funcţie de profilul de risc al
fiecărei structuri auditabile. Toate ariile şi operaţiunile organizaţiei trebuie
auditate în cursul unui ciclu operaţional planificat.
Activitatea de audit intern se coordonează cu activitatea auditorului
extern, dacă acesta există, în scopul evitării suprapunerilor în activitate şi
obiective.
Capitolul 7. Responsabilităţile
managementului
Activitatea de audit intern se poate desfăşura doar dacă beneficiază de

susţinere din partea conducerii.
În sprijinul derulării activităţii de audit intern, conducerea organizaţiei:
 asigură condiţii optime de lucru pentru auditorii interni;
 asigură auditorilor interni acces deplin la toate înregistrările,
documentele, activele şi angajaţii organizaţiei, astfel încât aceştia
să îşi poată duce la îndeplinire responsabilităţile;
 informează în timp util auditorul intern cu privire la identificarea
anumitor arii de risc ce pot determina misiuni speciale de audit
intern;
 comunică eficient cu echipa de audit intern în realizarea misiunii;
 ş.a.m.d.
Orice problemă apărută în procesul de colaborare între management şi
auditul intern trebuie raportată imediat structurii de guvernanţă.
Anexa 2 151
Capitolul 8. Asigurarea calităţii
În scopul asigurării îndeplinirii obiectivelor stabilite de către consiliul

organizaţiei şi de către conducerea executivă, structura de audit va stabili şi
respecta un program de asigurare a calităţii, ce va putea cuprinde şi analize
din partea unor terţi (părţi externe). Programul va acoperi toate aspectele
activităţii de audit intern şi va monitoriza continuu eficacitatea acestei
activităţi şi va fi astfel conceput încât să sprijine activitatea de audit intern, să
aducă valoare şi să îmbunătăţească operaţiunile desfăşurate de organizaţie.
Capitolul 9. Dispoziţii finale
Prezenta Cartă va intra în vigoare la data aprobării de către ….[structura

de guvernanţă: consiliul de administraţie/consiliul de supraveghere/di-
rectorat, potrivit sistemelor de conducere a societăţilor în România, aşa cum
sunt prevăzute în Legea societăţilor nr. 31/1990, republicată, cu modificările
şi completările ulterioare], şi va fi revizuită periodic. Ea va fi comunicată
întregului personal al …. [organizaţia] care ia cunoştinţă despre conţinutul
acesteia.
Ca urmare a aprobării, prevederile Cartei auditului intern devin obli-
gatorii pentru toţi membrii echipei de audit.
Carta auditului intern se elaborează ca document distinct de normele
specifice privind exercitarea activităţii de audit intern.
Anexa 3: Modele de Declaraţii privind respectarea

Codului de Etică
Anexa 3.1: Model Declaraţie

privind respectarea Codului de Etică
– MODEL –
(Declaraţia se emite de coordonatorul activităţi de audit intern, către
Consiliul de administraţie, la începerea activităţii de audit intern şi se
actualizează periodic, cel puţin o dată pe an)
DECLARAŢIE
PRIVIND RESPECTAREA CODULUI DE ETICĂ
Subsemnatul(a)……………………………………….. (reprezentant al Firmei de

audit42.... .....................RPE……………............) în calitate de PRESTATOR şi
coordonator pentru misiunile de audit intern, conform contractului
nr……/……..., încheiat cu [SC auditată………….], în calitate de BENEFICIAR,
declar pe proprie răspundere că, la data semnării prezentului document, nu
există elemente care să afecteze independenţa faţă de activitatea SC
....................................., nu există conflicte de interese sau incompatibilităţi în
legătură cu derularea activităţii de audit intern.
Declar pe propria răspundere că respect principiile prevăzute în Codul
de Etică din Normele Obligatorii din cadrul internaţional de practici profe-
sionale ale auditului intern, adoptate de CAFR. Declar că pe tot parcursul
contractului voi asigura premisele libertăţii faţă de orice condiţii ce ar putea
ameninţa capacitatea de desfăşurare a activităţii de audit intern şi ducerea la
îndeplinire a responsabilităţilor într-un mod nepărtinitor, în condiţii de
obiectivitate.
Orice modificare a situaţiei prezente (în sensul apariţiei unor elemente
care pot arăta că au fost afectate în fapt sau în aparenţă independenţa sau
obiectivitatea) va fi comunicată managementului superior şi comitetului de
42 Dacă externalizarea activităților de audit intern s-a făcut către o firmă de audit.
Anexa 3 153
audit/consiliului de administraţie, în scris, ori de câte ori şi imediat ce se

constată apariţia acestor situaţii.
Declar totodată că datele şi informaţiile legate de activitatea de audit
intern vor fi păstrate confidenţiale pe tot parcursul misiunii şi după încheierea
misiunii, pe o perioadă de 24 luni, sub responsabilitatea conducătorului
misiunii şi cu aplicabilitate pentru fiecare membru al echipei de audit intern.
Prezenta declaraţie este conformă cu cerinţele Codului de Etică şi ale
Standardelor emise de IIA şi asimilate de către Camera Auditorilor Financiari
din România.
Firma de audit: _____________________________(dacă e cazul)

Nr. RPE Firma _____________________________(dacă e cazul)
Funcţie: Coordonatorul activităţii de audit intern _______________
Nume: __________________________________
Nr. RPE: _________________________________
Semnătura : _______________________________
Data: ________________
Anexa 3.2: Model Declaraţie privind respectarea codului de

etică – pentru toţi membrii echipei de audit
– MODEL43 –
(orientativ; se completează de către fiecare membru al echipei de audit intern,
indiferent dacă funcţia este externalizată sau nu; document administrativ)
A. DECLARAŢIE DE INDEPENDENŢĂ
Subsemnatul(a)………………………………………............... în calitate de coordonator

al activităţii de audit intern de audit intern/membru al echipei de audit
intern/stagiar în activitatea de audit intern (tăiaţi ceea ce nu este corect),
conform contractului de muncă nr…….........../data……........, încheiat cu firma
de audit ___________________, membră CAFR înregistrată în RPE cu
nr……., declar pe propria răspundere următoarele informaţii care vor
ajuta în stabilirea independenţei mele în activitatea de audit financiar în
care voi fi implicat:
A1. La data prezentei declaraţii deţin acţiuni la următoarele societăţi:
Procent estimat de
Denumire societate Număr de acţiuni control sau influenţa
semnificativă
A2. La data prezentei declaraţii am primit următoarele beneficii materiale,

obţinute în mod regulat de la (ex. chirii obţinute, dobânzi încasate, tichete
cadou, alte avantaje etc.):
Valoarea anuală % suma în
Denumire Tip de
estimată a venit anual
organizaţie beneficii
avantajelor primite personal
43Este o recomandare minimală, care poate fi completată sau dezvoltată după caz, de
fiecare firmă de audit, în funcție de manualul său intern de proceduri și de cadrul de
reglementare specific, național.
Anexa 3 155
A3. La data prezentei declaraţii, declar pe propria răspundere relaţiile de

rudenie de gradul 1-3 (membrii apropiaţi ai familiei de grad 1-3, inclusiv
concubinul sau logodnicul în cazul în care nu există soţ/soţie)
Locul de muncă al Funcţia deţinută de
Denumire membru
rudei respective ruda respectivă la
familie/Grad rudenie
(societatea) data Declaraţiei
SOŢ/SOŢIE
CONCUBIN/LOGODNIC
FIU/FIICĂ
MAMĂ/TATĂ
UNCHI/MĂTUŞĂ
VĂR/VERIŞOARĂ
A4. La data prezentei declaraţii, declar pe propria răspundere că sunt impli-

cat ca parte în următoarele procese comerciale/civile:
Denumirea celui cu
Calitatea în Data începerii Stadiu
care există litigiul /
litigiu / proces litigiului litigiu
proces
Declar că îmi asum responsabilitatea de a anunţa în maxim 5 zile calenda-

ristice orice modificare a celor mai sus declarate, atât la data modificărilor
survenite, cât şi la începerea unei misiuni în care pot fi implicat(ă) şi în care
nu-mi voi putea onora obligaţiile profesionale din cauza posibilei vicieri a
independenţei şi/sau obiectivităţii mele.
B. DECLARAŢIE PRIVIND RESPECTAREA CODULUI DE

CONDUITĂ PROFESIONALĂ AL FIRMEI DE AUDIT
B1. Am luat la cunoştinţă şi voi respecta Codul de conduită profesională al

firmei de audit:
 integritate şi obiectivitate;
 competenţă profesională;
 confidenţialitate;
 conduită profesională şi
 desfăşurarea activităţii în conformitate cu standardele de audit
intern relevante.
B2. Mă angajez să respect cerinţele profesionale ale firmei de audit care coordo-
nează activitatea de audit intern, pe durata angajării mele şi voi răspunde pozitiv
solicitărilor de dezvoltare profesională stabilite de Coordonatorul misiunilor de
audit intern.
În cazul în care survin modificări care au implicaţii asupra independenţei sau
obiectivităţii mele şi nu pot stabili în mod cert maniera în care este afectat
statutul meu profesional, declar că mă voi consulta în termen de cel puţin
24 de ore cu partenerul de audit şi/sau cu coordonatorul de audit intern şi
voi respecta decizia lor referitoare la modul de lucru ulterior comunicării
schimbărilor survenite.
C. DECLARAŢIE PRIVIND CONFIDENŢIALITATEA
C1. Având în vedere implicarea mea în misiunile de audit intern ale firmei de
audit __________________________________, mă angajez să păstrez
confidenţialitatea informaţiilor în posesia cărora intru pe perioada mea
de angajare, în conformitate cu Codul de Etică adoptat de CAFR, precum şi
încă 2 ani calendaristici după încetarea relaţiilor mele cu firma de
audit.
C2. De asemenea mă angajez să nu divulg informaţii confidenţiale şi să
nu folosesc/divulg date cu caracter personal, obţinute în contextul
misiunilor de audit intern derulate, fără a avea acordul prealabil al superio-
rului meu şi fără a cere acordul specific al Clientului şi să respect condiţiile
impuse contractual în acest sens, cu excepţia situaţiilor specifice impuse
de lege.
D. ALTE ASPECTE
D1. Declar că am luat la cunoştinţă prevederile legislaţiei în vigoare referitoare

la „prevenirea şi combaterea terorismului şi a spălării banilor”, conform
informărilor interne, şi înţeleg implicaţiile sesizării în timp util a tranzacţiilor
suspecte şi a anunţării imediate a acestora către partenerul semnatar al
raportului de audit intern, precum şi către persoana responsabilă cu emiterea
raportului de tranzacţii suspecte, pentru clienţii în a căror misiune de audit sunt
implicat.
*
În concluzie, orice modificare a situaţiei prezente (în sensul
apariţiei unor elemente care pot arăta că au fost afectate în fapt sau
în aparenţă independenţa sau obiectivitatea) va fi comunicată
Anexa 3 157
partenerului semnatar al raportului de audit intern, în scris, ori de

câte ori şi imediat ce se constată apariţia acestor situaţii, cu
respectarea termenelor mai sus menţionate.
Nume: ___________________________________
Funcţie: __________________________________
Semnătura : _______________________________
Data: ___________________________________
Anexa 4: Model Plan strategic/multianual

de audit intern
– MODEL –
COORDONATORUL ACTIVITĂŢII DE AUDIT INTERN44
Nr. RPE …….
Nr. / data……………….
ORGANIZAŢIA …….
APROB,
PLAN STRATEGIC/MULTIANUAL DE AUDIT INTERN
Tipul Anul/Perioada Buget estimativ de

Activitatea Obiectivele realizării 45 timp (ore)
Nr. Domeniul misiunii
auditabilă misiunii de
crt. auditabil de audit Anul Anul Anul Anul Anul Anul
audit intern
intern 1 2 3 1 2 3
Coordonatorul activităţii de audit intern

(numele şi prenumele/Nr. RPE ….. / Semnătura)

această funcție, un auditor financiar independent sau o firmă de audit către care
s-au externalizat serviciile de audit intern.
45 Se recomandă detalierea perioadei de desfășurare, până la nivel de trimestru, în
corelare cu bugetul de timp și/sau bugetul financiar alocat.
Anexa 5 159
Anexa 5: Modele Planul anual de audit intern,

fundamentare, analiză riscuri, evaluare control
intern
Anexa 5.1: Model Plan anual de audit intern
– MODEL 1 –
COORDONATORUL ACTIVITĂŢII DE AUDIT INTERN 46
Nr. RPE …..
Nr. / data……………….
ORGANIZAŢIA………
APROB,
PLAN ANUAL DE AUDIT INTERN

Pentru anul……………..
Numărul
Perioada
de audi-
Obiectivele Tipul Nivel de de reali-
Perioada tori im- Buget Organizaţia/
Nr. Domeniul Activitate misiunii misiunii risc zare a
supusă plicaţi în estimativ structura
crt. auditabil auditată de audit de audit estimat misiunii
auditării misiunea ore lucru auditată
intern intern iniţial de audit
de audit
intern47
intern

……………………………………………..
(numele şi prenumele/Nr. RPE / Semnătura)
47 Se recomandă detalierea perioadei de desfășurare, până la trimestru, în corelare cu
bugetul de timp și/sau bugetul financiar alocat.

– MODEL 248 –

COORDONATORUL STRUCTURII DE AUDIT INTERN 49
Nr. RPE …….
Nr. / data……………….
ORGANIZAŢIA…
DE ACORD,
p. COMITETUL DE AUDIT,
………………
PLAN DE AUDIT INTERN
Pentru anul……………..
Aria de Perioada de Perioada
Nr. Resurse
Tema / obiectivele misiunii aplica- desfăşurare supusă
crt. alocate
bilitate a misiunii verificării
0 1 2 3 4 5
1 AUDIT OPERAŢIONAL
Revizuirea obiectivelor propuse
pentru n-2, n-1, conform
standard audit intern 2201
1.1 „Aspecte privind planificarea”
- Evaluarea preliminară a
riscurilor relevante faţă de
activitatea organizaţiei
2 ADMINISTRAREA RISCULUI -
Evaluarea modului de
administrare şi a procedurilor
de administrare a riscurilor,
metodologia de administrare a
riscurilor semnificative
2.1 - Evaluarea sistemului de control -
intern prin prisma procedurilor
interne de organizare şi
funcţionare a activităţii
2.2 - Evaluarea riscului operaţional,
tehnologic, intern
2.3 - Evaluarea riscului de
management
48 Numai cu caracter ilustrativ, obiectivele sunt aleatorii.

această funcție, un auditor financiar independent sau o firmă de audit către care
s-au externalizat serviciile de audit intern.
Anexa 5 161
Aria de Perioada de Perioada

Nr. Resurse
Tema / obiectivele misiunii aplica- desfăşurare supusă
crt. alocate
bilitate a misiunii verificării
0 1 2 3 4 5
3 AUDITUL SISTEMULUI DE -
GUVERNANŢĂ CORPORATIVĂ
Adecvarea şi eficacitatea
controlului intern privind
guvernanţa organizaţiei,
operaţiunile şi sistemele de
informare
3.1 - Evaluarea procesului de
guvernanţă – proiecţie,
funcţionalitate, monitorizare
3.2 - Evaluarea calităţii exercitării
funcţiilor de conducere
4 AUDIT DE CONFORMITATE
Funcţionalitatea controlului
intern, eficienţă şi eficacitate
4.1 - Conformitatea cu legislaţia în
vigoare, politici şi proceduri
interne – fiabilitatea şi
integritatea informaţiilor
financiar – contabile
5 MANAGEMENTUL -
RISCURILOR
5.1 - Evaluarea riscurilor (începând cu
gradul cel mai mare)
5.2 - Evaluarea riscului de piaţă
potenţial
5.3 - Evaluarea riscului operaţional
Anexa 5.2: Model Fundamentarea planului de audit intern
– MODEL –
FIRMA DE AUDIT…. /PFA/PFI
Nr. RPE…….
COORDONATOR ACTIVITATE AUDIT INTERN50 …..
Nr. / Data…….
ORGANIZAŢIA [CLIENT DE AUDIT INTERN] ……
DE ACORD,
p. COMITETUL DE AUDIT,
………………
NOTĂ /REFERAT / NOTIFICARE

privind fundamentarea propunerii de plan de audit intern
Pentru anul…………….
În conformitate cu contractul nr. ……. / …….. , privind activitatea de

audit intern, Carta / Statutul auditului intern, aprobat de conducerea [S.C.
CLIENT DE AUDIT], [prin Hotărârea, Decizia nr. …. / …….], cu respectarea
Normelor emise de Institutul Auditorilor Interni (Global Institute of Internal
Auditors), asimilate de CAFR ca reglementări aplicabile activităţii de audit
intern coordonată de auditori financiari, am procedat la întocmirea proiectului
Planului de audit intern pentru anul …. ataşat, având în vedere următoarele:
1. Temele şi obiectivele misiunilor au fost identificate pe baza:
a. Prelucrării informaţiilor despre activitatea organizaţiei, condu-
cerea executivă şi non-executivă, structura organizatorică etc.,
colectate în perioada ………………..
b. Construirii unei planificări bazată pe risc

Anexa 5 163
c. Procedurilor interne ale organizaţiei auditate privind manage-

mentul riscurilor şi strategia generală a afacerii
d. Apetitului la risc şi toleranţei la risc pentru diferite activităţi sau
părţi ale organizaţiei
e. Revizuirii gradului de realizare a temelor şi obiectivelor
anterioare şi acoperirea ariei de aplicabilitate (cu menţionarea
datei ultimei revizuiri)
2. Aria de aplicabilitate pentru fiecare obiectiv s-a stabilit în funcţie
de priorităţile perioadei de referinţă (pentru managementul riscului,
îmbunătăţirea activităţii organizaţiei, a proceselor de control intern etc.), după
ce au fost discutate cu managementul superior şi, după caz, cu comitetul de
audit; poate face referire la un segment de activitate, o activitate, un proces de
control, un departament – pe funcţii, atribuţii, personal angajat etc.
3. Resursele alocate – în funcţie de sumele puse la dispoziţie de către
societate [CLIENT DE AUDIT] şi bugetul misiunii întocmit de auditor şi
aprobat de societate [CLIENT DE AUDIT]
4. Perioada de desfăşurare a misiunii51 – cuprinde perioada în
care va avea loc verificarea faptică, inclusiv colectarea informaţiilor,
centralizarea, analiza, evaluarea, formularea concluziilor, discutarea acestora
cu managementul superior şi, după caz, cu comitetul de audit, elaborarea şi
comunicarea concluziilor şi recomandărilor finale. Perioada se stabileşte în
funcţie de volumul de muncă necesar pentru realizarea obiectivelor, experienţa
şi competenţa profesională a conducătorului misiunii, în ce măsură se
cunoaşte mediul economic în care funcţionează organizaţia, necesitatea de
asigurare a independenţei şi obiectivităţii, recurenţa misiunii (vechimea
activităţii de audit intern derulată la acelaşi client), natura relaţiilor de
colaborare şi comunicare cu managementul, precum şi de procesul de alocare
a resurselor necesare realizării fiecărui obiectiv.
5. Perioada supusă auditării – poate face referire la perioada gene-
rării informaţiilor solicitate de auditor în vederea analizei şi evaluării; raţio-
namentul profesional al coordonatorului activităţii de audit intern, experienţa
şi competenţa sa şi a membrilor echipei ar trebui să asigure o perioadă cât mai
apropiată de producerea unui eveniment sau tranzacţie, poate şi anterior, fără
a înlocui sau substitui componente ale sistemului de control intern.
Prezentul plan se va actualiza sau, după caz, modifica, în mod justi-
ficat, în funcţie de concluziile desprinse pe parcursul desfăşurării misiunilor,
51 Auditorul intern va ține cont că perioadele fie prea scurte, fie prea lungi pot afecta
calitatea activității, oportunitatea, eficiența și activitatea misiunii.
cu reiterarea procedurilor de modificare, propunere şi aprobare, inclusiv a

programului de activitate afectat.
Coordonatorul activităţii de audit intern îşi rezervă dreptul de a revizui
periodic, cel puţin o dată pe an, liniile de planificare şi stadiul realizării lor.
Recomandări privind elaborarea acestui document

Scopul notei este:
- Să asigure baza de organizare şi desfăşurare a activităţii de audit intern.
- Să prezinte şi să urmărească reperele de referinţă pentru abordarea
misiunii şi stabilirea priorităţilor în concordanţă cu obiectivele organizaţiei
auditate.
- Să justifice întocmirea planului de audit intern în conformitate cu cerinţele
Standardelor de audit intern (2010 „Planificarea”; 2200 „Planificarea
misiunii”; 2201 „Consideraţii referitoare la planificare”; 2210 „Obiectivele
misiunii”; 2220 „Aria de aplicabilitate a misiunii”; 2230 „Resursele alocate
misiunii”; 2240 „Programul de lucru al misiunii”).
Anexa 5 165
Anexa 5.3: Model Analiză obiective,

activităţi şi riscuri asociate
– MODEL –
Anexa 5.4: Model Chestionar pentru evaluarea preliminară a

sistemului de control intern
Întrebări Da Nu Comentarii
I. Structura
1. Există politici şi proceduri corespunzătoare
privind conflictul de interese, practicile privind
securitatea şi Codul de Etică? Acestea sunt
comunicate şi reamintite corespunzător?
2. Rolurile şi responsabilităţile sunt definite clar,
documentate şi comunicate?
3. Există competenţe de aprobare?
4. Există o separare a activităţilor incompatibile?
5. Există un cod de conduită, aplicabil atât
managementului, cât şi angajaţilor?
6. Angajamentul de integritate şi etică este comunicat
în organizaţie atât prin vorbe, cât şi prin fapte?
7. Mediul de control îi încurajează pe cei ce-şi
realizează obiectivele, dar previne încălcarea
principiilor de control?
8. Managementul ia măsuri disciplinare
corespunzătoare împotriva celor care încalcă
politicile şi procedurile sau Codul de Etică?
9. Există o politică scrisă referitoare la ospitalitatea
şi cadourile care pot fi acceptate?
II. Atitudinea managementului faţă de controalele interne
10. Rapoartele auditului intern privind controalele
sunt susţinute de conducerea superioară şi
primesc răspuns la nivelul conducerii?
11. Există un comitet de audit, constituit în mod co-
respunzător, care să supravegheze auditul intern
şi care să analizeze funcţionarea controalelor?
12. Managementul oferă un sprijin adecvat în
efectuarea activităţii de audit intern?
13. Auditul intern a funcţionat permanent, operând
independent?
14. Auditul intern asigură monitorizarea controalelor
entităţii prin evaluări separate?
III. Proceduri generale de control intern
15. Managementul a stabilit proceduri care previn
accesul neautorizat sau distrugerea înregistrărilor
fizice sau informatice?
16. Există proceduri standard de angajare, instruire,
motivare, evaluare, dezvoltare, compensare şi
Anexa 5 167
concediere a angajaţilor aplicabile tuturor ariilor
funcţionale?
17. Politicile şi procedurile sunt clare, comunicate,
actualizate şi revizuite periodic?
18. Există fişe ale posturilor?
19. Angajaţii sunt evaluaţi periodic din punct de
vedere al performanţei activităţii?
20. Rapoartele şi înregistrările companiei sunt
etichetate corespunzător pentru asigurarea
confidenţialităţii şi sunt arhivate într-o locaţie
sigură?
21. Numerarul, titlurile de valoare şi alte active de
valoare sunt păstrate în locaţii securizate?
22. Angajaţii sunt instruiţi în ceea ce priveşte
senzitivitatea şi confidenţialitatea informaţiilor şi
a înregistrărilor cu care lucrează?
IV. Angajarea şi pregătirea personalului
23. Există proceduri scrise pentru politicile de
recrutare a membrilor echipei?
24. Există o periodicitate în verificarea
performantelor fiecărui angajat de către persoane
autorizate în acest sens (managerii de
departamente)?
25. În urma verificării performanţelor, sunt stabilite
nevoile de perfecţionare a pregătirii profesionale a
angajaţilor?
V. Autorizări şi acces în sistem. Politicile managementului de protecţie
împotriva pierderilor, fraudelor şi a actelor ilegale
26. Sunt luate măsuri de protecţie fizică împotriva:
- pierderilor şi sustragerilor de stocuri şi mijloace
fixe?
- accesului neautorizat la echipamentele de calcul,
programe de calculator sau înregistrări?
- pierderilor înregistrărilor contabile şi a altor
înregistrări?
- pierderilor în urma incendiilor, inundaţiilor,
accidentelor etc.?
27. Accesul la aplicaţii şi date este restrâns la
persoanele care au nevoie pentru îndeplinirea
sarcinilor de serviciu?
28. Se păstrează evidenţa cererilor de acces la
aplicaţii şi aprobărilor date de management?
29. Responsabilii de aplicaţie revizuiesc periodic lista
persoanelor care au acces şi revocă accesul
persoanelor care au părăsit compania, au fost
transferate sau nu mai au nevoie de acces?
30. Rapoartele sunt distribuite acelor utilizatori care
au nevoie de acestea pentru realizarea sarcinilor
de serviciu şi responsabilii de aplicaţii revizuiesc
periodic listele de distribuţie a rapoartelor?
VI. Responsabilităţi ale coordonatorului activităţii de audit intern în
afara funcţiei de audit intern
31. Este încurajat personalul să ceară sfaturi privind
problemele de etică şi există o sursă independentă
pentru asemenea sfaturi?
32. Sunt stabilite mecanisme care să asigure că
managementul este informat operativ privitor la:
- depăşirea alocaţiilor bugetare sau neutilizarea
lor?
- pierderi sau fraudă?
- slăbiciuni ale controlului intern?
VII. Integritatea datelor
33. Tranzacţiile introduse manual sunt autorizate
corespunzător înainte de prelucrare?
34. Datele de intrare sunt editate şi validate, inclusiv
în ceea ce priveşte duplicarea şi completitudinea?
Evaluare generală (în funcţie de rezultatele chestionarului de

mai sus):
Factor de ajustare a
Calificativ
expunerii la risc
Sistemul de Control Intern este 1
funcţional / conform
Sistemul de Control Intern este parţial 2
funcţional / parţial conform
Sistemul de Control Intern nu este 3
funcţional / neconform
Anexa 6 169
Anexa 6: Model Notificare privind începerea

misiunii de audit intern
– MODEL –
NOTIFICARE PRIVIND ÎNCEPEREA

MISIUNII DE AUDIT INTERN
Nr ……. / …….
Antet Auditor intern …..
Nr. RPE …..
Către: [Numele şi funcţia conducătorului departamentului /

serviciului / activităţii auditate ]
De la: [Conducătorul / coordonatorul activităţii / misiunii de
audit intern]
Referinţe: [Activitate / proces auditat]
În conformitate cu Planul de audit intern pentru anul ……. aprobat cu

nr…../…......... de către ………........................... , în perioada ……………………. se
va efectua misiunea de audit intern cu tema ............................ la ……….
(numele activităţii / structurii auditate).
Obiectivele misiunii …………………………..
Misiunea de audit se va desfăşura sub coordonarea directă a d-lui/d-
nei....................... de către o echipă formată din:
- [Nume, prenume, calitate profesională]
- …..
În vederea declanşării misiunii, vă propunem ca în data de …………………,
orele …………, să se desfăşoare, cu acordul dvs., la ………………. [locul de
desfăşurare a activităţii auditate] şedinţa de deschidere/o întâlnire de lucru, în
vederea discutării unor aspecte ale misiunii de audit şi anume:
- prezentarea auditorilor;
- scopul misiunii de audit;

- obiectivele misiunii de audit intern;
- programul misiunii de audit;
- alte aspecte.
Pentru pregătirea misiunii de audit intern, vă rugăm ca, până la data
desfăşurării şedinţei de deschidere, să ne puneţi la dispoziţie următoarele
documente:
- :.................................................................... .
Vă rugăm să confirmaţi agrearea datei de desfăşurare şi disponibilitatea
participării dumneavoastră la şedinţa de deschidere, într-un interval de timp
rezonabil.
Vă stăm la dispoziţie pentru clarificarea oricăror aspecte sau întrebări
privind această misiune, la [adresă mail ……….., tel………], persoană de
contact: dl. / dna. ...................... coordonator de misiune.
Coordonatorul activităţii / misiunii de audit intern…………………………….

Anexa 7 171
Anexa 7: Model Minuta şedinţei de deschidere
– MODEL –
Antet Auditor intern….
Nr. RPE ……
MINUTA ŞEDINŢEI DE DESCHIDERE

Încheiată astăzi ..............
A. Lista participanţilor
Telefon / e-mail /
Numele Funcţia Structura auditată
Semnătura
B. Rezumatul discuţiilor
......................................................................................
Consemnăm prezentul document:
Pentru auditorul intern …........................ Pentru organizaţia …….............................
……………………........................................... ……………………….......................................
Anexa 8: Model Program general de lucru al

misiunii de audit intern
– MODEL –
Auditor intern …….

Nr. RPE ……
Organizaţia …….
PROGRAMUL GENERAL DE LUCRU

AL MISIUNII DE AUDIT INTERN
Activitatea / procesul auditat: ……………
Perioada efectuării misiunii:
Buget de timp alocat:
Întocmit: Data întocmirii:
Supervizat: Data supervizării:
Etape ale Termenul Locul

misiunii Persoane desfăşurării
Acţiuni de audit intern
de audit Prevăzut Realizat implicate acţiunii de
intern audit intern
I. Pregătirea misiunii de audit intern
1. Completarea/Actualizarea
Declaraţiilor privind respectarea
Codului de Etică (Anexa 3)
2. Emiterea Notificării de înce-
pere a misiunii şi emiterea, după
caz a Ordinului de misiune
(Anexa 6)
3. Deschiderea misiunii de audit
intern (Anexa 7)
4. Constituirea şi actualizarea
dosarului general şi a dosarului
de misiune
5. Solicitarea/Obţinerea
informaţiilor preliminare
necesare desfăşurării misiunii
6. Evaluarea riscurilor
7. Evaluarea controlului intern
Anexa 8 173
Etape ale Termenul Locul

misiunii Persoane desfăşurării
Acţiuni de audit intern
de audit Prevăzut Realizat implicate acţiunii de
intern audit intern
8. Definitivarea Programului de
lucru specific pentru misiunea de
audit intern în derulare
II. Realizarea misiunii
1. Efectuarea testărilor conform
programului de lucru al misiunii;
colectarea probelor
2. Elaborarea foilor de lucru –
documentarea constatărilor şi
formularea recomandărilor
3. Revizuirea documentaţiei şi
completarea dosarului de misiune
4. Verificarea finală şi revizuirea
execuţiei misiunii de audit intern
III. Raportarea rezultatelor misiunii de audit intern
1. Elaborarea proiectului de
raport de audit intern
2. Transmiterea proiectului
raportului de audit intern către
structura auditată în vederea
concilierii observaţiilor
3. Şedinţa de conciliere şi
stabilirea împreună cu structura
auditată a termenelor de
implementare, precum şi a
persoanelor responsabile din
organizaţie.
4. Elaborarea Raportului de audit
intern final
5. Difuzarea Raportului de audit
intern către conducerea
superioară pentru informare
IV. Urmărirea recomandărilor
1. Obţinerea unui referat/notă
/raport al structurii auditate
asupra gradului de implementare
a recomandărilor agreate
2. Elaborarea Fişei de urmărire a
implementării recomandărilor
(Anexa 13)
3. Raportarea stadiului
implementării recomandărilor
către conducere (Anexa 14)
Anexa 9: Model Foaie de lucru
– MODEL –
Referinţă dosar
misiune …..
FOAIE DE LUCRU
Structura auditată:..................
Tema misiunii ............................. Perioada derulării
Întocmit de: ....................... Data întocmirii:

Supervizat de: ..................... Data supervizării:
Obiectiv :..............................
Activitatea ………………………………….
Scop/misiune Verificarea activităţii ……………………………………………..
realizată
Rezultate Constatarea .....
……..
În unele situaţii, conform rezultatelor obţinute pe eşantionul
verificat, am constatat că………..................................................
(exemple: doc. nr……. / înregistrarea contabilă…….
Concluzii şi Apreciem că……
recomandări Situaţia constatată a creat disfuncţii şi perturbaţii ………………….. cu
consecinţe directe asupra…………........................................................
Recomandăm completarea procedurii ……. şi a fişelor de post ale
persoanelor implicate cu responsabilităţi în toţi paşii de derulare a
fluxului de acţiuni atribuite prin aceasta
Responsabilului de proces, în opinia noastră,
îi revine sarcina ………
Anexa 9 175
Risc rezidual Importanţa (impact):scăzut/mediu

(va fi completat Influenţa pe care o poate avea în prezent .......................................
doar dacă din o apreciem ca scăzută
verificare rezultă În situaţia ipotetică de generalizare a
o deficienţă) ...................................................... la intervale mai mari de timp şi în
salturi (fără respectarea cronologiei datelor de desfăşurare a lor, de
exemplu) poate creşte importanţa riscului către nivel mediu. În
funcţie şi de natura şi costurile serviciilor .........prestate în anumite
intervale de timp, putem cantona importanţa riscului în nivelul
mediu
Probabilitate: scăzută
Analiza eşantionului reflectă totuşi, în general, valori mici ale
daunelor care se încadrează în aceste întârzieri şi apreciem
probabilitatea riscului analizat, în condiţiile în care s-au desfăşurat
evaluarea, perioada supusă auditului şi constituirea eşantionului
verificat, ca fiind de nivel scăzut.
Risc: Conduce la un risc rezidual mediu
Întocmit de: Revizuit de:

Nume/prenume Nume/prenume
________________________ _________________________
Funcţia Funcţia
________________________ _________________________
Semnătura Semnătura
________________________ _________________________
Data: Data:
_________________ _________________
Anexa 10: Model Raport de audit intern
– MODEL –
ANTET AUDITOR INTERN

Nr. RPE …..
ANTET ORGANIZAŢIE
Data …………..
[TITLU]
RAPORT AUDIT INTERN

PERIOADA…………………
MISIUNEA ………………………………………..
ACTIVITATEA / PROCESUL AUDITAT ………
[Domeniul / aria de aplicabilitate – denumirea misiunii de audit

intern şi, după caz, componenţa, secvenţa, structura sau activitatea auditată,
dacă acestea fac obiectul unui raport distinct în cadrul misiunii de referinţă]
[Introducere]
- Se precizează denumirea misiunii, tipul de audit şi baza legală a
misiunii (planul anual de audit, solicitări speciale).
- Se prezintă datele de identificare a misiunii de audit intern (coor-
donatorul activităţii de audit intern, echipa de auditori, structura
sau activitatea auditată, durata misiunii de audit, perioada
auditată).
- Se precizează activităţile, structurile, departamentele sau com-
partimentele auditate.
- Sunt sintetizate recomandările misiunilor de audit anterioare şi
sunt subliniate acele recomandări care, până în momentul
derulării prezentei misiuni de audit, nu au fost implementate
(după caz).
Anexa 10 177
[Precizarea obiectivelor]
- Obiectivele de audit prezentate în raportul de audit intern coincid
cu cele înscrise în planul de audit.
[Precizarea elementelor metodologice]
- Sunt precizate: metodologia, tehnicile şi instrumentele de audit
intern folosite în cadrul misiunii de audit intern (sintetic).
- Prezentarea conformităţii/neconformităţii cu Standardele In-
ternaţionale de Audit Intern
- Detalierea respectării cerinţelor relevante ale standardelor de
calificare şi de performanţă, cu referinţe, trimiteri la documentul
component din dosarul de audit intern.
[Constatările şi recomandările auditorilor]
- În ordinea obiectivelor din programul de lucru al misiunii de
audit intern.
[Adresabilitate şi utilizare]
- Se adresează consiliului şi managementului organizaţiei;
- Se comunică tuturor structurilor, activităţilor auditate;
- Poate fi utilizat de terţe persoane numai cu acordul conducerii
organizaţiei. Orice alte elemente de publicitate şi utilizare trebuie
convenite cu organizaţia auditată.
[Aspecte legate de informaţii]
- Accesul la datele şi informaţiile necesare desfăşurării misiunii;
- Modul de prelucrare, arhivare şi securizare a datelor, inclusiv
restricţionarea accesului la date, dacă a fost cazul;
- Sursele externe de obţinere a informaţiilor, dacă a fost cazul;
- Utilizarea de servicii externe, dacă a fost cazul.
[CONCLUZII]
- Opinia exprimată de auditorul intern (rating, concluzie etc.).
Coordonatorul activităţii de audit intern,

………………………
Nume-Prenume / Nr.RPE / Semnătura
RECOMANDĂRI PRIVIND PROCEDURA

DE ELABORARE A RAPORTULUI DE AUDIT INTERN
Scopul documentului:
- Prezentarea cadrului general – metodologia, procedurile, teh-
nicile – aplicate pentru realizarea obiectivelor propuse, prezenta-
rea constatărilor, concluziilor şi recomandărilor făcute de au-
ditorii interni.
- Mijloc de asigurare a transparenţei în ceea ce priveşte evaluarea
strategiilor şi riscurilor.
- Atestare a percepţiei proceselor de guvernanţă şi de management
al riscurilor.
- Prezentarea unui pachet de informaţii pe care acţionariatul se
aşteaptă să le obţină de la companie.
Documentul trebuie să asigure:
- Valorificarea şi utilizarea probelor obţinute şi consemnate în do-
cumentaţia misiunii.
- Prezentarea unei evaluări a eficienţei, eficacităţii şi economicităţii
activităţilor desfăşurate de organizaţie, precum şi a modului de
funcţionare a sistemului de control intern şi de management al
riscurilor.
Standarde de referinţă
- Standarde de calificare: 1000 „Scop, autoritate şi responsa-
bilităţi”; 1110 „Independenţa organizaţională”; 1320 „Raportarea
privind Programul de Asigurare şi Îmbunătăţire a Calităţii”; 1322
„Prezentarea neconformităţii”.
- Standarde de performanţă: 2000 „Gestionarea activităţii de
audit intern”; 2060 „Raportarea către conducerea superioară şi
consiliu”; 2070 „Furnizorul Extern de Servicii şi Responsabili-
tatea Organizaţională cu privire la Auditul Intern”; 2420 „Calita-
tea comunicărilor”; 2421 „Erori şi omisiuni”; 2430 – Utilizarea
afirmaţiei „Realizat în Conformitate cu Standardele Interna-
ţionale pentru Practica Profesională a Auditului Intern”
Anexa 11 179
Anexa 11. Schema procesului de conciliere

Anexa 12: Model Minută şedinţa de închidere
– MODEL –
ANTET AUDITOR INTERN ….
Nr. RPE …
MINUTA ŞEDINŢEI ÎNCHIDERE
Încheiată astăzi ..............
Misiunea de audit intern ..............................

Perioada supusă auditului: ..............................................
Nr. Numele şi Structura din care

Funcţia
crt. prenumele face parte
1. (în organizaţia auditată) (în organizaţia
auditată).....................
2. (în organizaţia auditată)
Coordonator misiune audit
3. Echipa Audit Intern
intern
4. Auditor intern Echipa Audit Intern
Pe parcursul misiunii de audit desfăşurate, în baza planului de audit

aprobat de Consiliul de Administraţie şi comunicat structurii auditate în
şedinţa de deschidere ……………………………………auditorul a evaluat prin sondaj
activitatea structurii ..............................., pentru a da asigurări (pentru a oferi
consiliere) conducerii SC ................., precum şi pentru eficientizarea şi
perfecţionarea activităţii în ansamblu.................
Dna / d-nul........................................................................, coordonatorul
activităţii de audit intern, a prezentat concluziile misiunii de audit intern
desfăşurate la ........................., cu accent pe următoarele aspecte:
- baza legală a misiunii, perioada auditată, scopul misiunii de
audit;
- tehnicile de audit şi metodologia utilizată;
- constatări din domeniul ...............
- .....................
- ................
Anexa 12 181
Au fost discutate disfuncţionalităţile constatate, recomandările formu-

late, termenele de implementare şi persoanele responsabile stabilite de
conducerea structurii auditate.
S-a concluzionat că sunt agreate recomandările şi s-a stabilit Planul de
Măsuri în vederea confirmării termenelor de implementare şi a persoanelor
responsabile.
Raportul final de audit intern, care va include şi prevederile din Planul
de Măsuri elaborat de conducerea executivă a structurii auditate se va trimite
spre informare conducerii superioare.
Prin semnarea prezentei minute se recunoaşte şi faptul că toate
documentele şi materialele puse la dispoziţia auditului în original de către
organizaţia auditată au fost înapoiate acesteia.
Cele care au fost puse la dispoziţia auditorilor în format electronic se
arhivează prin grija Coordonatorului de misiune, conform cerinţelor de
arhivare din Manualul de proceduri interne.
Structura auditată, Auditori interni,

Anexa 13: Model Fişă de urmărire a implementării

recomandărilor
– MODEL –
ANTET AUDITOR INTERN ….
Nr. RPE …
Misiunea: ……………
FIŞA DE URMĂRIRE A IMPLEMENTĂRII

RECOMANDĂRILOR*
Actualizare la data de …………………………
Organizaţia ……………… Structura auditată …………………………………
Misiunea de audit intern: Raport de audit intern nr............ Obs.

………………………………………………………. /.............................
Neimplementare***
Recomandarea**
Implementare***
Data estimată
Implementare
pentru
parţială***
Nr Data
completarea /
. crt. planificată****
finalizarea
implementării*****
0 1 2 3 4 5 6 7
Întocmit de Supervizat de
………………………… ……………………..
Data întocmirii Data supervizării
Anexa 13 183
INSTRUCŢIUNI DE COMPLETARE
* Se întocmeşte potrivit procedurilor auditorului intern privind urmărirea
implementării recomandărilor, centralizat sau pentru fiecare recomandare, cu
actualizare periodică
** Conform numerotare / indexare din Raportul de audit intern
*** Se completează gradul de implementare şi explicaţii, inclusiv documente
de referinţă întocmite de auditorul intern
**** Conform „Planului de acţiune” confirmat de coordonatorul activităţii de
audit intern
***** Conform evaluării de către auditorul intern a stadiului, nivelului şi
posibilităţilor de implementare
Auditorii interni/Membrii echipei

- Întocmesc Fişa de urmărire a implementării recomandărilor,
prevăzută în anexă pentru misiunile încheiate şi care se apropie
de termenul de implementare;
- Primesc şi analizează Planul de Măsuri al organizaţiei pentru
implementarea recomandărilor;
- Verifică realizarea măsurilor la termenele stabilite;
- Evaluează progresele înregistrate în implementarea recoman-
dărilor;
- Arhivează Fişa de urmărire a implementării recomandărilor în
dosarul documentelor misiunii de audit.
Reprezentanţii structurii auditate
- Analizează recomandările formulate în Raportul de audit avizat
de conducătorul organizaţiei;
- Elaborează Planul de Măsuri pentru implementarea recoman-
dărilor şi reducerea riscurilor reziduale;
- Transmit Planul de acţiune pentru implementarea recoman-
dărilor către conducătorul misiunii de audit intern, în termen de
.............. zile calendaristice de la primirea Raportului de audit;
- Efectuează eventuale modificări ale Planului de Măsuri pentru
implementarea recomandărilor, în funcţie de propunerile for-
mulate de conducătorul misiunii de audit intern;
- Implementează acţiunile cuprinse în Planul de Măsuri pentru

implementarea recomandărilor cu respectarea termenelor pre-
văzute;
- Transmit conducătorului misiunii de audit intern, periodic, in-
formări cu privire la stadiul implementării recomandărilor.
Coordonatorul misiunii de audit intern
- Analizează Planul de Măsuri în vederea organizării procesului de
monitorizare a implementării recomandărilor;
- Evaluează progresele înregistrate în implementarea recoman-
dărilor şi propune, dacă este cazul, eventuale modificări ale
Planului de Măsuri pentru implementarea recomandărilor;
- După implementarea recomandărilor, evaluează valoarea adău-
gată de auditul intern şi cuprinde aceste informaţii în raportările
periodice.
- Informează conducerea superioară cu privire la recomandările
neimplementate la termen;
Conducerea superioară a organizaţiei
- Dispune măsuri, în cazul neimplementării la termen a recoman-
dărilor formulate de auditorii interni.
Anexa 14 185
Anexa 14: Model Raport de monitorizare privind

constatările şi recomandările
– MODEL –
AUDITOR INTERN
ORGANIZAŢIA………
APROBAT ,
Consiliu de Administraţie,
PREŞEDINTE,
RAPORT DE MONITORIZARE
privind constatările, recomandările şi stadiul de implementare a
recomandărilor cuprinse în rapoartele de audit intern întocmite în
semestrul I / 20xx
I. Situaţia misiunilor realizate în anul ……

II. Stadiul de implementare a recomandărilor
III. Concluzii

…………….
Nume-Prenume / Nr.RPE/ Semnătura
luna ……. / 20xx

I. SITUAŢIA MISIUNILOR REALIZATE ÎN SEMESTRUL … / 20xx

Se va prezenta stadiul misiunilor de audit intern realizate în semestrul …
din anul... conform planului de audit intern pe anul..., precum şi misiunile
realizate care nu au fost cuprinse în planul anual de audit intern.
Se vor detalia constatările şi recomandările formulate în rapoartele de
audit intern întocmite în urma efectuării misiunilor de audit intern în
semestrul…din anul….
II. STADIUL DE IMPLEMENTARE A RECOMANDĂRILOR

Se va prezenta stadiul de implementare a recomandărilor în termenele
de implementare propuse. În cazul recomandărilor neimplementate se vor
analiza cauzele neimplementării, subliniindu-se cazurile de nerespectare a ter-
menelor de implementare sau dacă managementul a acceptat să-şi asume
riscul de a nu întreprinde nici o măsură.
III. CONCLUZII
Auditorul intern va menţiona în ce măsură a contribuit la îmbunătăţirea
activităţii din cadrul organizaţiei auditate.

…………….
Nume-Prenume / Nr. RPE/ Semnătura

Anexa 15 187
Anexa 15: Model Revizuirea dosarului misiunii

de audit intern
– MODEL –
REVIZUIREA DOSARULUI MISIUNII

DE AUDIT INTERN
Denumire misiune:……..
Perioada:…………………….
Întocmit de: Data întocmirii
Supervizat de: Data supervizării:
PARTEA A – SPECIFICUL MISIUNII

Etapele Obs.
Refe-
misiu-
Activităţi rinţă /
nii de
pagina
audit
I. Pregătirea misiunii de audit intern

1.1 Completarea/Actualizarea Declaraţiilor privind Anexa
respectarea Codului de Etică. Analiza eventualelor ….
incompatibilităţi şi conflicte de interese
1.2. Întocmirea şi transmiterea Notificării privind Anexa
declanşarea misiunii de audit intern către structurile ….
auditate
1.3. Redactarea Minutei şedinţei de deschidere
1.4. Colectarea şi prelucrarea informaţiilor Anexa
preliminare (constituirea şi actualizarea dosarului ….
general şi a dosarului de misiune)
1.5. Analiza obiectivelor, activităţilor şi riscurilor Anexa
asociate – Evaluarea riscurilor ….
1.6 Evaluarea controlului intern
1.7. Întocmirea Programului de lucru specific al Anexa
misiunii de audit intern ….
Etapele Obs.
Refe-
misiu-
nii de
pagina
audit
1.8. Elaborarea instrumentelor şi procedurilor de Anexa
audit intern ….
1.9. Întâlniri / şedinţe de lucru cu toţi membrii Anexa
echipei de audit în care se vor discuta punctual ….
procedurile de audit intern, tehnicile şi metodele de
audit intern, chestionarele, interviurile, foile de
lucru, testele propuse şi rezultatele acestora şi se vor
întocmi minutele şedinţelor de lucru.
Se vor analiza toate problemele identificate pe
parcursul efectuării misiunii de audit intern, precum
şi calitatea comunicării cu structura auditată.
II. Realizarea misiunii
2.1. Efectuarea testărilor, conform Programului de Anexa
lucru detaliat – colectarea probelor ….
2.2. Discutarea constatărilor cu responsabilul Anexa
structurii / procesului auditat, clarificări ….
2.3. Completarea chestionarelor, testelor, foilor de Anexa
lucru şi formularea recomandărilor ….
2.4. Revizuirea documentelor de lucru – Anexa
completarea dosarului de misiune ….
Anexa
2.5. Şedinţa de închidere a misiunii de audit
….
2.5.1. Discutarea principalelor constatări şi Anexa
recomandări cu structura auditată ….
2.5.2. Organizarea şedinţei de conciliere şi Anexa
rediscutarea constatărilor cu structura auditată ….
(când este cazul)
2.5.3 Concluzii şi discuţii privind posibile Anexa
evenimente ulterioare perioadei auditate (când ….
este cazul)
III. Raportarea rezultatelor
3.1. Întocmirea şi transmiterea proiectului de Raport Anexa
de audit intern ….
3.2. Primirea eventualelor observaţii, puncte de Anexa
vedere ale structurii auditate ….
Anexa 15 189
Etapele Obs.
Refe-
misiu-
nii de
pagina
audit
3.3. Includerea în Raportul de audit intern a Anexa
aspectelor reţinute din prezentarea punctelor de ….
vedere ale structurii auditate sau organizarea unei
şedinţe de conciliere
3.4. Finalizarea şi difuzarea Raportului de audit Anexa
intern ….
3.5. Transmiterea recomandărilor aprobate către Anexa
structura auditată ….
IV. Urmărirea implementării recomandărilor
4.1. Iniţierea procesului de urmărire a Anexa
implementării recomandărilor, discuţii cu structura ….
auditată
4.2 Raportarea stadiului implementării Anexa
recomandărilor către conducere ….
V. Rapoarte, sinteze periodice către CA
5.1 Întocmirea sintezei misiunii de audit încheiate Anexa
(documentează raportul periodic înaintat către CA; ….
a se vedea şi Anexa 14)
PARTEA B – SPECIFIC METODOLOGIEI

Nr.
Criterii Răspuns Observaţii
crt.
Standardul de audit intern 2300 – Realizarea misiunii

Declaraţia privind respectarea Codului de etică al
coordonatorului activităţii de audit intern a fost
1. prezentată Consiliului de administraţie al
organizaţiei înainte de începerea misiunii de audit
intern?
Programul de lucru al misiunii de audit intern a
2. fost elaborat în vederea îndeplinirii obiectivelor
misiunii în cadrul bugetului de timp alocat?
Obiectivul auditului, scopul, procedurile şi
bugetul au fost reanalizate în mod constant
3.
pentru a asigura o eficientă folosire a resurselor
de audit?
Nr.
crt.
Foile de lucru demonstrează că programul de
audit a fost realizat şi cuprind informaţiile
4.
colectate şi analize ale aspectelor referitoare la
obiectivele auditului?
Constatările şi recomandările sunt incluse în foi
5. de lucru şi au la bază probe adecvate (suficiente,
credibile, relevante)?
Au fost evaluate eficienţa şi eficacitatea
6.
activităţii/structurii auditate?
Au fost respectate procedurile interne privind orga-
7.
nizarea şi desfăşurarea activităţii de audit intern?
Documentele de lucru au fost completate în mod
corespunzător şi în conformitate cu Procedurile
8.
interne privind organizarea şi desfăşurarea
activităţii de audit intern?
9. Bugetul de timp a fost respectat?
Recomandările formulate sunt clare şi oferă sufi-
ciente informaţii într-o manieră logică, astfel încât
10.
să poată genera o reacţie pozitivă din partea
structurii auditate?
Recomandările formulate se adresează remedierii
cauzei producerii riscurilor identificate, în
11. vederea implementării unor controale sau
modificării unor fluxuri de activităţi astfel încât să
conducă la diminuarea riscurilor identificate?
Constatările şi recomandările sunt în concordanţă
12.
cu obiectivele misiunii?
Termenele de implementare sunt clar precizate,
sunt corelate cu riscurile asociate deficienţelor
13. identificate şi respectă limitele prevăzute în
Procedurile interne privind organizarea şi
desfăşurarea activităţii de audit intern?
În cazul în care recomandarea ar fi implementată,
14.
deficienţa ar fi remediată?
Implementarea recomandării depăşeşte aria de
15.
competenţă a structurii auditate?
Implementarea recomandărilor respectă
16.
principiul cost-eficienţă?
Anexa 15 191
Nr.
crt.
Este identificată în mod clar persoana/funcţia
responsabilă cu implementarea recomandării?
17.
Are aceasta autoritatea necesară în vederea
implementării recomandării?
Foile de lucru au ataşate copii ale probelor
18.
corespunzătoare?
Sunt documentate corespunzător diversele analize
19.
menţionate în foile de lucru?
S-a primit de la structura auditată Planul de
20.
Măsuri pentru implementarea recomandărilor?
S-a întocmit un Raport de audit intern? Raportul
de audit intern respectă Procedurile interne
21.
privind organizarea şi desfăşurarea activităţii de
audit intern?
Standardul de audit intern 2400 – Comunicarea rezultatelor

A existat o bună comunicare între auditor şi
1.
structura auditată?
Au fost comunicate structurii auditate toate
2. aspectele semnificative identificate pe parcursul
misiunii?
Comunicările scrise au fost clare, concise,
3.
obiective şi corecte?
Planul de Măsuri în vederea implementării
4. recomandărilor a fost asumat de structura
auditată?
S-a înaintat structurii auditate un chestionar de
5.
evaluare a echipei misiunii?
Total
Întocmit,
……………………………….. (nume, prenume)
…………………………………(Nr. RPE)
…………..…………………….(semnătura)
Anexa 16: Modele pentru documentarea evaluării

riscurilor
– MODELE DE REGISTRU AL RISCURILOR –

Anexa 16 193
Tabel 3
BAZA DE CALCUL
pentru evaluarea riscurilor inerente identificate
Nivelul de
Impactul Probabilitatea risc
Nr. Denumirea
Obiectiv aferent aferentă inerent
riscurilor
crt. specific riscului riscului
inerente (col. 3 x
inerent inerent
col. 4)
0 1 2 3 4 5
1
2
NOTĂ:
1. Impactul poate fi estimat, pe o scară cu trei valori, astfel:
1 = nivel scăzut al impactului;
2 = nivel mediu al impactului;
3 = nivel ridicat al impactului.
2. Probabilitatea poate fi estimată astfel:
1 = nivel scăzut al probabilităţii;
2 = nivel mediu al probabilităţii;
3 = nivel ridicat al probabilităţii.
3. Nivelul fiecărei variabile va fi stabilit pe baza datelor existente,
având în vedere frecvenţa cu care s-au manifestat riscurile
respective anterior, ori anticipările de manifestare pentru
perioada următoare.
4. Tabelul acesta poate fi dezvoltat în funcţie de nevoile organizaţiei, el
fiind de fapt un extras din Tabelul 1.
5. Scările de evaluare pentru impact şi probabilitate pot fi detaliate
diferit, spre exemplu, pe cinci valori şi nu pe trei.
Tabel 4
PLANUL DE MĂSURI AL ORGANIZAŢIEI
Persoana Persoane Data limită de

Riscul Denumirea
responsabilă responsabile cu implementare
Nr. inerent acţiunii de
cu monitori- implementarea a acţiunii de
pentru minimizare
crt. zarea acţiunii de minimizare a
fiecare a riscului
riscului minimizare a riscului
obiectiv inerent
inerent riscului inerent inerent
0 1 2 3 4 5
1
2
 Col. 1 trebuie să fie identică cu col. 2 din Tabelul 1
Modelul 2
REGISTRUL RISCURILOR
Controale Eficienţa Recoman-
Proces/ Descriere Probabi- Riscul
Nr. Risc Impact Scor existente/alte controa- dări/plan
activitate a riscului litate rezidual
comentarii lelor de acţiune
1.
Anexa 17 195
Anexa 17: Model al Programului de asigurare şi

îmbunătăţire a calităţii activităţii de audit intern
– MODEL –
PROGRAMUL DE ASIGURARE ŞI ÎMBUNĂTĂŢIRE A

CALITĂŢII ACTIVITĂŢII DE AUDIT INTERN
al Firmei de audit……………………. Nr. RPE……….
pentru anul…………………..
Nr. Standard Elemente Frecvenţa Rezul- Revizuit Obser-
crt. tate de vaţii
1 1300, 1310 Programul de asigurare şi îmbunătăţire a calităţii
1.1. Procedura de asigurare şi îmbunătăţire a Revizuire Coordo-
calităţii activităţii de audit intern este anuală natorul
adecvată şi respectă cerinţele prevăzute în activităţii de
Standardele Internaţionale de Audit audit intern
Intern
1.2. Descrierea Programului de asigurare şi Revizuire Coordo-
îmbunătăţire a calităţii activităţii de audit anuală natorul
intern cuprinde aspecte referitoare la: activităţii de
 Evaluări interne – monitorizarea audit intern
continuă
 Evaluări interne – autoevaluări
periodice
 Evaluări externe
2 1311 Evaluări interne – Monitorizarea continuă
2.1. Evaluarea performanţei la nivelul fiecărei Permanent Coordo-
misiuni de audit intern (conformarea cu natorul
Standardul de audit intern 2200 – activităţii de
Planificarea misiunii, Standardul de audit audit intern
intern 2300 – Realizarea misiunii, Stan-
dardul de audit intern 2400 – Comuni-
carea rezultatelor, Standardul de audit
intern 2500 – Monitorizarea Progresului)
3 1311 Evaluări interne – Autoevaluări periodice
3.1. Evaluarea necesităţii revizuirii Cartei Anual/Ori de Coordonato-
(Statutului) auditului intern câte ori este rul activităţii
necesar de audit
intern
3.2. Evaluarea necesităţii revizuirii Anual/Ori de Coordo-
reglementărilor interne privind câte ori este natorul
organizarea şi desfăşurarea activităţii de necesar activităţii de
audit intern audit intern

crt. tate de vaţii
3.3. Autoevaluarea anuală în vederea Anual Coordo-
evaluării conformităţii cu Standardele de natorul
Audit Intern activităţii de
audit intern
3.4. Evaluarea performanţei auditorilor Anual Coordonato-
interni rul activităţii
de audit
intern/Comi-
tetul de
Audit/Consi-
liul de admi-
nistraţie
3.5. Evaluarea adecvării Programului de Anual Coordo-
pregătire şi perfecţionare profesională a natorul
auditorilor interni activităţii de
audit intern
3.6. Evaluarea stadiului de realizare a Semestrial Coordo-
Planului de audit intern natorul
activităţii de
audit intern
3.7. Obţinerea declaraţiilor auditorilor Anual / Ori Coordo-
interni cu privire la respectarea de câte ori natorul
Independenţei şi Codului de etică: este necesar activităţii de
 Respectarea integrităţii audit intern/
(conformitatea cu Standardul de Comitetul de
Audit Intern 1200 – Competenţă şi Audit/
conştiinciozitate profesională); Consiliul de
 Independenţa şi obiectivitatea administraţie
(conformitatea cu Standardul de
Audit Intern 1100 – Independenţă şi
Obiectivitate);
 Pregătirea profesională (conformita-
tea cu Standardele de Audit Intern
1200 – Competenţă şi conştiincio-
zitate profesională şi 2000 – Coor-
donarea Activităţii de Audit intern)
 Confidenţialitate şi protecţia datelor
cu caracter personal (conformitatea
cu Standardele Internaţionale de
Audit Intern: 2330 – Documentarea
informaţiilor, 2410 A3 – Criterii
pentru comunicare şi 2440 A2 –
Difuzarea rezultatelor)
 Conflictele de interese şi fapte de
corupţie (conformitatea cu
Standardul de Audit Intern 1120 –
Obiectivitate individuală)
Anexa 17 197

crt. tate de vaţii
4 1312 Evaluări externe
4.1. Evaluările externe vor fi efectuate de La 5 ani
către un evaluator calificat independent
sau de către o echipă de evaluare din
afara organizaţiei.
5 1320 Raportarea privind Programul de Asigurare şi Îmbunătăţire a
Calităţii
5.1. Conducătorul executiv al auditului va Anual Coordona-
comunica Consiliului de torul activi-
Administraţie/Comitetului de Audit, tăţii de audit
dacă există, rezultatele Programului de intern
Asigurare şi Îmbunătăţire a Calităţii
activităţii de audit intern
6 1321 Utilizarea sintagmei «În conformitate cu Standardele
Internaţionale pentru Practica Profesională a Auditului Intern»
6.1. Conducătorul executiv al auditului poate Coordona-
declara că activitatea de audit intern este torul activi-
în conformitate cu Standardele tăţii de audit
Internaţionale pentru Practica intern
Profesională a Auditului Intern, numai
dacă rezultatele programului de
asigurare şi îmbunătăţire a calităţii
activităţii de audit intern susţin aceasta
declaraţie.
7 1322 Prezentarea neconformităţii
7.1. Cazurile de neconformitate cu Definiţia Ori de câte Coordona-
Auditului Intern, Codul de Etică sau ori este torul activi-
Standardele sunt raportate de către necesar tăţii de audit
coordonatorul executiv al auditului, (impact intern
împreună cu impactul acestora, ridicat)
Consiliului de Administraţie/Comitetului Anual Coordona-
de Audit, dacă există. torul activi-
tăţii de audit
intern
Legendă aprecieri în col. „Rezultate”:
Bine – se asigură conformitatea cu Standardele Internaţionale de Audit Intern
Necesită îmbunătăţiri – abateri de la respectarea Standardelor Internaţionale de Audit
Intern
Nesatisfăcător – neconform cu Standardele Internaţionale de Audit intern

Nr. RPE Semnătura
Anexa 18: Model Chestionar evaluări de calitate
– MODEL –
CERERE EVALUARE
Coordonator activitate audit intern al …………[organizaţia]
Programul de îmbunătăţire şi asigurare a calităţii activităţii de audit
intern pentru anul ......
De la: Coordonator activitate audit intern

Către: ....................................(persoana aflată la conducerea
structurii auditate)
Subiect: Solicitare completare chestionar de evaluare a
activităţii de audit intern ȋn urma finalizării misiunii de
audit intern privind ...................................
Data trimiterii: …………………………………………
Stimată Doamnă /Stimate Domnule,

În perioada ....(perioada desfăşurării misiunii), s-au desfăşurat misiu-
nile de audit intern privind .....
Ca parte a Programului îmbunătăţire şi asigurare a calităţii activităţii de
audit intern pentru societatea …........, am aprecia răspunsurile dumneavoastră
la întrebările din chestionarul anexat.
Nume-Prenume/Nr. RPE / Semnătura
Anexa 18 199
ANEXĂ LA CEREREA DE EVALUARE:

CHESTIONAR DE EVALUARE
A CALITĂŢII SERVICIILOR PRESTATE
1. Personalul echipei de audit:

Foarte Satis- Nesatis-
Indicatori de performanţă Bine
bine făcător făcător
1. Obiectivitatea auditorului
intern/auditorilor interni
2. Profesionalismul auditorului/echipei de
audit intern
3. Cunoştinţe suficiente cu privire la
procesele / activitatea dumneavoastră
4. Calitatea comunicării cu auditorul
intern / membrii echipei de audit intern
2. Desfăşurarea misiunii şi raportul de audit:

Foarte Satis- Nesatis-
Indicatori de performanţă Bine
bine făcător făcător
1. Discuţii cu auditorul intern / membrii
echipei de audit intern cu privire la
aspectele semnificative identificate pe
parcursul misiunii.
2. Inteligibilitatea raportului de audit
intern.
3. Alte observaţii cu privire la activitatea auditorului intern /

membrilor echipei de audit intern (rugăm detaliaţi):
……………………………………………………….
______________________________________________________
Data răspuns Nume Prenume
Funcţia Semnătura
Anexa 19: Model autoevaluare – declaraţia de

conformitate cu standardele IIA
– MODEL –
Declaraţia de conformitate cu Standardele Internaţionale

pentru Practica Profesională a Auditului Intern
Activitatea de audit intern desfăşurată ...........…………… [se completează

cu nivelul de conformare, după cum urmează:
Nivelul 1 „se conformează în general”‚
Nivelul 2 „este parţial conformă”
Nivelul 3 „este neconformă / nu se conformează”
Nivelul de conformare
Denumire Nivelul Nivelul Nivelul
1 2 3
STANDARDELE DE CALIFICARE
1000 – Scop, Autoritate şi Responsabilităţi
1010 – Recunoaşterea Definiţiei Auditului Intern, a
Codului de Etică şi a Standardelor în Carta Auditului
Intern
1100 – Independenţă şi Obiectivitate
1110 – Independenţa organizaţională
1111 – Interacţiunea directă cu consiliul
1112 – Responsabilităţile Conducătorului executiv al
auditului în afara funcţiei de audit intern
1120 – Obiectivitate Individuală
1130 – Prejudicii aduse independenţei sau
obiectivităţii
1200 – Competenţă şi conştiinciozitate profesională
1210 – Competenţă
1220 – Conştiinciozitate profesională
1230 – Formarea profesională continuă
1300 – Programul de asigurare şi îmbunătăţire a
calităţii
1310 – Cerinţele Programului de Asigurare şi
Îmbunătăţire a Calităţii
1311 – Evaluările interne
Anexa 19 201
1 2 3
1312 – Evaluările externe
1320 – Raportarea privind Programul de Asigurare şi
Îmbunătăţire a Calităţii
1321 – Utilizarea sintagmei «În conformitate cu
Standardele Internaţionale pentru Practica
Profesională a Auditului Intern»
1322 – Prezentarea neconformităţii
STANDARDELE DE PERFORMANŢĂ
2000 – Coordonarea Activităţii de Audit Intern
2010 – Planificarea
2020 – Comunicarea şi aprobarea
2030 – Administrarea resurselor
2040 – Politici şi Proceduri
2050 – Coordonarea şi Încrederea
2060 – Raportarea către conducerea superioară şi
consiliu
2070 – Furnizorul Extern de Servicii şi
Responsabilitatea Organizaţională cu privire la
Auditul Intern
2100 – Tipul activităţii
2110 – Guvernanţa
2120 – Managementul riscului
2130 – Controlul
2200 – Planificarea misiunii
2201 – Aspecte privind planificarea
2210 – Obiectivele misiunii
2220 – Sfera de cuprindere a misiunii
2230 – Alocarea resurselor misiunii
2240 – Programul de lucru al misiunii
2300 – Realizarea misiunii
2310 – Identificarea informaţiilor
2320 – Analiza şi Evaluarea
2330 – Documentarea informaţiilor
2340 – Supervizarea misiunii
2400 – Comunicarea rezultatelor
2410 – Criterii pentru comunicare
2420 – Calitatea comunicărilor
2421 – Erori şi omisiuni
2430 – Utilizarea afirmaţiei „Realizat în
Conformitate cu Standardele Internaţionale pentru
1 2 3
Practica Profesională a Auditului Intern”
2431 – Aducerea la Cunoştinţă a Neconformităţii în
cadrul misiunii de audit intern
2440 – Difuzarea rezultatelor
2450 – Opinii generale
2500 – Monitorizarea Progresului
2600 – Comunicarea Acceptării Riscurilor
CODUL DE ETICĂ
Coordonatorul activităţii de audit intern, Data emiterii
Nume-Prenume / Nr. RPE / Semnătura

Anexa 20 203
Anexa 20: Cerinţe şi aşteptări în zona „GDPR”52

Protecţia efectivă a datelor cu caracter personal în întreaga Uniune necesită
nu numai consolidarea şi stabilirea în detaliu a drepturilor persoanelor
vizate şi a obligaţiilor celor care prelucrează şi decid prelucrarea
datelor cu caracter personal, ci şi competenţe echivalente pentru monito-
rizarea şi asigurarea conformităţii cu normele de protecţie a datelor cu
caracter personal şi sancţiuni echivalente pentru infracţiuni în statele membre.
Cerinţele GDPR au ca scop standardizarea şi armonizarea la nivelul
Uniunii Europene a reglementărilor privind protecţia datelor cu caracter
personal. Prin acest regulament se pun în atenţie riscurile legate de pro-
tecţia datelor cu caracter personal, fără a stabili cum să se realizeze
protecţia acestor date. Mai degrabă se stabilesc aşteptări legate de date pe baza
nivelului de sensibilitate a acestora şi a riscurilor potenţiale.
Încorporarea noilor obligaţii pentru controlorii de date, noile drepturi
pentru persoanele vizate şi noile cifre şi instrumentele de securitate impun
societăţilor să adapteze şi să revizuiască politicile şi procedurile de
securitate curente.
Aceste reforme privind protecţia datelor au impus companiilor să
implementeze o serie de măsuri juridice, tehnice şi organizatorice pentru a se
adapta, ceea ce va însemna, în majoritatea cazurilor, că trebuie să efectueze o
analiză aprofundată a procedurilor de protecţie a datelor şi, even-
tual, să îşi modifice modelele de afaceri pentru acel scop.
52 Material informativ extras din articolele legate de acest subiect, publicate în revista
„Audit Financiar” și în revista „Practici de audit” (site-ul CAFR/ Publicații).
Riscul de neconformitate cu cerinţele GDPR – imagine de

ansamblu
1) Amenzi de maximum 4% din cifra de afaceri la nivel global
2) Acoperire teritorială crescută
3) Consimţământ explicit şi retractabil
4) Drepturile de acces şi portabilitate
5) Notificarea breşelor de securitate în maximum 72 de ore
6) Privacy by design
7) Dreptul de a fi uitat
8) Numirea unui Responsabil pentru Protecţia Datelor

Anexa 20 205
Impactul GDPR asupra organizaţiei

• Juridic şi Conformitate
GDPR introduce cerinţe şi provocări noi pentru funcţiile juridice şi
conformitate:
 Organizaţiile sunt nevoite să numească un Responsabil pentru
Protecţia Datelor;
 În caz de nerespectare a regulamentului, amenzile sunt foarte mari –
până la 4% din cifra de afaceri la nivel global;
 O atenţie crescută privind responsabilitatea organizaţiei necesită o
guvernanţă proactivă şi robustă, solicitând organizaţiilor să revi-
zuiască modul de definire a politicilor referitoare la protecţia datelor
cu caracter personal.
• Tehnologie
Noile cerinţe impuse de GDPR aduc schimbări în modul în care
tehnologiile vor fi definite şi gestionate.
 Este necesară documentarea unor analize de risc referitoare la confi-
denţialitate pentru a implementa sisteme şi tehnologii noi;
 Reglementatorul trebuie notificat în cazul încălcării confidenţialităţii
datelor în termen de 72 de ore, ceea ce presupune implementarea
unor proceduri de răspuns la incident îmbunătăţite;
• Gestiunea datelor personale
Personalul cu rol în gestionarea informaţiilor trebuie să prezinte clar
modul de stocare a datelor. O imagine mai bună asupra datelor colectate şi
locaţia unde acestea sunt stocate va uşura respectarea regulamentului din
punct de vedere al noilor drepturi impuse, respectiv dreptul de ştergere a
datelor şi dreptul de portabilitate.
Evaluarea proceselor GDPR de către auditul intern

Controale la nivel de organizaţie
 Strategia privind confidenţialitatea
 DPO & responsabilitatea organizaţiei
 Training & conştientizare
 Politici şi standard
Controale generale
 Transferul datelor
 Drepturile indivizilor
 Notificarea încălcării confidenţialităţii datelor
 Privacy Audit
 Securitatea procesării
 Evaluarea impactului asupra protecţiei datelor
 Privacy by Design & Default
 Inventarierea activităţilor de procesare
Controale la nivel de aplicaţie

 Legalitate
 Limitarea scopului
 Minimizarea datelor
 Acurateţe
 Obiectivitate şi transparentă
 Integritate şi confidenţialitate
 Limitarea stocării datelor
Analiza riscului de neconformitate cu GDPR de către auditul

intern
Cerinţe de securitate aşteptate de GDPR includ:
 Pseudonimizarea şi criptarea datelor cu caracter personal
 Asigurarea rezilienţei sistemelor şi serviciilor de prelucrare a datelor
cu caracter personal
 Realizarea de testări şi evaluări periodice ale controalelor organiza-
ţionale şi tehnice implementate pentru a asigura securitatea prelu-
crării datelor
Anexa 20 207
Deziderate în materie de GDPR Obiective de audit intern

 Politicile, standardele şi procedurile - Verificarea documentaţiei din punct de
privind securitatea informaţiei şi vedere al completitudinii şi acurateţei
protecţia datelor sunt implementate - Confirmarea existenţei unor aprobări
oficiale, care să fie comunicate şi
aplicate la timp
- Verificarea faptului că documentaţia
acoperă toate cerinţele GDPR
- Verificarea modului în care cerinţele
procedurale sunt acoperite prin
controale interne
 Se organizează periodic sesiuni de - Verificarea calendarului de cursuri şi a
formare şi conştientizare cu faptului că documentaţia suport
personalul cuprinde toate conceptele GDPR
 Evidenţele activităţilor de procesare - Confirmarea participării de către
sunt reţinute şi revizuite periodic angajaţi
 Datele personale sunt actualizate - Verificarea existenţei şi acurateţei unei
periodic liste de procese, sisteme şi depozite de
 Datele personale sunt date în care sunt procesate date cu
pseudonimizate caracter personal
 Datele personale sunt criptate
 Procesul de back-up operează şi se - Verificarea efectuării de teste a copiilor
testează periodic de rezervă
 Un plan de Business Continuity - Verificarea realizării unei revizuiri cel
(inclusiv Disaster Recovery) a fost puţin anuale a BCP (Business
definit, implementat şi testat o dată Continuity Plan ) şi DRP (Disaster
pe an Recovery Plan)
 Sunt implementate principiile de - Verificarea implementării eficiente şi
securitate logice: autentificarea eficace a restricţiilor de acces logic la
utilizatorilor, parole, drepturi de date personale
acces, VPN, configuraţii de firewall
 Principiile securităţii fizice sunt - Verificarea existenţei unor sisteme şi
implementate. proceduri pentru a gestiona accesul
 Logurile de acces şi activitate sunt logic şi fizic la informaţii personale,
activate şi reţinute inclusiv copii de hârtie, arhivă şi
copiile de rezervă.
 Scan-uri de vulnerabilitate şi teste de - Verificarea derulării unor teste de
penetrabilitate sunt definite şi vulnerabilitate şi penetrabilitate, atât
implementate din reţele interne, cât şi externe.
 Se realizează auditul partenerilor - Verificarea existenţei clauzelor de audit
terţi (furnizori, procesatori de date) definite în contractele cu principalii
furnizori/procesatori
Programul de audit intern în materie de conformitate GDPR

Anticipare
• Dacă până acum efortul auditului intern a fost în direcţia evaluării
pregătirii prin planificarea şi implementarea unor procese în conformitate cu
cerinţele GDPR, este momentul să se treacă la misiuni de asigurare!
• Un model de program de audit intern pentru o misiune de asigurare
va acoperi următoarele 6 teme:
 Guvernanţă şi responsabilitate
 Dreptul la informare
 Educare şi conştientizare
 Securitate
 Managementul datelor / înregistrărilor
 Partajarea datelor
Consultare
• Abordarea auditului intern trebuie să fie una incluzivă, în sensul
evaluării a cât mai mulţi responsabili în procesele GDPR, nu doar DPO (Data
Protection Officer)– ci şi consiliul de administraţie, departamentul de resurse
umane, departamentul juridic sau achiziţii, spre exemplu.
• Auditul GDPR nu trebuie să fie un exerciţiu de conformitate, pe bază
de chestionar! Considerând evoluţia continuă în ceea ce priveşte noile moduri
de folosire a datelor, trebuie să ne aşteptăm la adaptarea şi modificarea
cerinţelor GDPR.
Anexa 21 209
Anexa 21: Informaţii utile despre riscul cibernetic 53
Cum răspundem riscului cibernetic?

 Strategia, transformarea şi evaluarea cibernetică
 Managementul riscului cibernetic şi conformitate
 Training, educare şi conştientizare în riscuri cibernetice
 Anticipare şi pregătire pentru ameninţări avansate
 Tehnici analitice dedicate riscului cibernetic
 Centrul de operaţiuni de securitate cibernetică
 Informaţii privind ameninţările cibernetice
 Protecţia infrastructurii
 Managementul vulnerabilităţilor
 Protecţia aplicaţiilor
 Servicii de autentificare
 Confidenţialitatea şi protecţia datelor
 Răspunsul la incidente cibernetice
 Cyber wargaming
De la implementare la monitorizare şi perfecţionare

Extern: Auditul Extern / Autorităţi de reglementare
A 3-a linie de apărare: Auditul Intern
 Testare controale interne
 Evaluare conformitate în zona de securitate cibernetică
 Evaluare acceptanţa formală a riscurilor cibernetice
A 2-a linie de apărare: Funcţia de Management al Riscului – IT

 Acţiuni de investigare / detectare
 Înţelegere ameninţări, vulnerabilităţi, riscuri cibernetice
 Evaluare formală a riscurilor
 Analiză impact în business (BIA)
 Riscuri emergente
53 Material informativ extras din articolele legate de acest subiect, publicate în revista
„Audit Financiar” și în revista „Practici de audit” (site-ul CAFR/ Publicații).
1-a linie de apărare: Structurile funcţionale din business şi IT

 Auto-evaluarea controalelor interne (CSA)
 Teste de intruziune / penetrare
 Testări tehnice şi funcţionale
 Testări sociale şi comportamentale
 Revizuiri periodice ale managementului
Ponderea riscului cibernetic în planul de audit
Provocări pentru auditul intern

1. Obstacole înfruntate de auditul intern în adresarea riscului
cibernetic
 Lipsa expertizei în domeniul securităţii cibernetice a perso-
nalului din structura de audit intern;
 Lipsa cooperării şi comunicării cu structura IT;
 Lipsa suportului din partea conducerii executive pentru a adresa
riscul cibernetic.
2. Aşteptări vs. realizări privind efortul Auditului Intern în

zona securităţii cibernetice
 Comunică conducerii executive şi membrilor CA nivelul de risc
identificat la nivelul organizaţiei şi eforturile de a-l adresa;
Anexa 21 211
 Oferă asigurare privind implementarea de controale preventive şi

detective ce adresează ameninţările cibernetice;
 Colaborează cu structura IT şi alte structuri responsabile cu
crearea unor mecanisme eficace de apărare şi răspuns la ameninţări
cibernetice;
 Contribuie la buna comunicare şi coordonare în cadrul orga-
nizaţiei în ceea ce priveşte riscul cibernetic.
Programul de audit intern în aria riscului cibernetic

 Analiza riscului este o metodă cuprinzătoare de evaluare a riscului
cibernetic, adecvată organizaţiei şi permite acordare de scor.
 Planul multianual de audit intern cuprinde este o serie de misiuni
de asigurare orientate spre riscuri care vizează aspecte specifice dome-
niului, cu un scop şi o dimensionare adecvate.
 Execuţia planului de audit intern presupune implementarea
eficientă la nivel de oameni, de procese şi de instrumente a planului de
audit.
 Raportarea este continuă, precisă, bazată pe scoruri şi este adecvată
pentru mai multe părţi interesate.
Anexa 22: Index anexe ghid privind implementarea

standardelor internaţionale de audit intern
ediţia II – 2019 versus ediţia I – 2015
Numerotare Numerotare
Denumire Anexă
Ediţia II 2019 Ediţia I 2015
MODEL CONTRACT PRESTĂRI SERVICII DE Anexa 1 -
AUDIT INTERN (ÎN CAZUL
EXTERNALIZĂRII)
MODEL CARTA DE AUDIT INTERN Anexa 2 Anexa 1
MODEL DECLARAŢIE PRIVIND Anexa 3.1 Anexa 5 –
RESPECTAREA CODULUI DE ETICĂ model 1
MODEL DECLARAŢIE PRIVIND Anexa 3.2 -
RESPECTARE A CODULUI DE ETICĂ –
PENTRU TOŢI MEMBRII ECHIPEI DE
AUDIT
MODEL PLAN STRATEGIC/MULTIANUAL Anexa 4 Anexa 2
DE AUDIT INTERN
MODEL PLAN ANUAL DE AUDIT INTERN Anexa 5.1 Anexa 3
MODEL NOTĂ FUNDAMENTARE PLAN DE Anexa 5.2 Anexa 3,
AUDIT INTERN model 3
MODEL ANALIZĂ OBIECTIVE, ACTIVITĂŢI Anexa 5.3 Anexa 8
ŞI RISCURI ASOCIATE
MODEL CHESTIONAR PENTRU Anexa 5.4 -
EVALUAREA PRELIMINARĂ A SISTEMULUI
DE AUDIT INTERN
MODEL ORDIN DE MISIUNE - Anexa 4
MODEL NOTIFICARE PRIVIND ÎNCEPEREA Anexa 6 Anexa 6
MODEL MINUTĂ ŞEDINŢA DE Anexa 7 Anexa 7
DESCHIDERE
MODEL PROGRAM GENERAL DE LUCRU AL Anexa 8 Anexa 9
MODEL FOAIE DE LUCRU Anexa 9 Anexa 10
MODEL RAPORT DE AUDIT INTERN Anexa 10 Anexa 12
SCHEMA PROCESULUI DE CONCILIERE Anexa 11 -
MODEL MINUTĂ ŞEDINŢA DE ÎNCHIDERE Anexa 12 Anexa 11
MODEL FIŞA DE URMĂRIRE A Anexa 13 Anexa 13
IMPLEMENTĂRII RECOMANDĂRILOR
MODEL RAPORT DE MONITORIZARE Anexa 14 Anexa 14
PRIVIND CONSTATĂRILE ŞI
RECOMANDĂRILE
Anexa 22 213
Numerotare Numerotare
Denumire Anexă
Ediţia II 2019 Ediţia I 2015
MODEL REVIZUIRE DOSARUL MISIUNII DE Anexa 15 Anexa 15
AUDIT INTERN
MODELE PENTRU DOCUMENTAREA Anexa 16 Anexa 16
EVALUĂRII RISCURILOR
MODEL AL PROGRAMULUI DE ASIGURARE Anexa 17 -
ŞI ÎMBUNĂTĂŢIRE A CALITĂŢII
ACTIVITĂŢII DE AUDIT INTERN
MODEL CHESTIONAR EVALUĂRI DE Anexa 18 -
CALITATE
MODEL DECLARAŢIE DE CONFORMITATE Anexa 19 -
CU STANDARDELE IIA
CERINŢE ŞI AŞTEPTĂRI ÎN ZONA „GDPR" Anexa 20 -
INFORMAŢII UTILE DESPRE RISCUL Anexa 21 -
CIBERNETIC
ISBN 973-0-30782-2
9 789730 307825

Ghid Privind Implementarea Standardelor Internationale de Audit Intern 2019 PDF

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Ghid Privind Implementarea Standardelor Internationale de Audit Intern 2019 PDF

Încărcat de

Drepturi de autor:

Formate disponibile

GHID

Consultanţi din partea

Coperta, prezentarea grafică şi tehnoredactarea:

Capitolul 2. ORGANIZAREA ŞI EXERCITAREA ACTIVITĂŢII DE AUDIT

2.6.4. Respectarea principiilor de etică ............................................... 39

Capitolul 3. ACCEPTAREA ŞI PREGĂTIREA MISIUNILOR DE AUDIT

Capitolul 4. IDENTIFICAREA ŞI EVALUAREA RISCURILOR ...................... 76

4.7.2. Acceptarea (tolerarea) riscurilor ...............................................88

Capitolul 5. DESFĂŞURAREA MISIUNII DE AUDIT INTERN ..................... 96

5.4. Structurarea dosarelor de audit intern – documentarea

Capitolul 6. PROGRAMUL DE ASIGURARE ŞI ÎMBUNĂTĂŢIRE A

Capitolul 7. ANEXE ..................................................................................... 129

Anexa 14: Model Raport de monitorizare privind constatările şi

1.1. Prezentare generală a Ghidului

1 Global IIA – The Institute of Internal Auditors – Institutul Internațional al Audito-

obligatorii emise de IIA şi adoptate de Camera Auditorilor Financiari din

auditor financiar activ în România, conform prevederilor legale

1.2. Scopul şi structura Ghidului

fiecare capitol va conţine o parte narativă, explicativă a conceptelor incluse în

1.3. Cadrul de practici profesionale

3 Site Global IIA – iunie 2019.

Elementele obligatorii ale IPPF sunt:

1.3.2. Cadrul legal naţional aplicabil pentru organizarea

5 Global IIA – Standards&Guidance.

(5) „auditorii interni vor aduce la cunoştinţa membrilor consi-

(iii) Ordonanţa de urgenţă a Guvernului (OUG) nr. 75/1999

7 Ne referim la Legea contabilității nr.82/1991, republicată, cu modificările și comple-

- Art.5(4): „Camera elaborează:

- Art.23: „Responsabilii pentru organizarea activităţii de audit

Atribuirea calităţii de auditor financiar implică autorizarea de

Camera Auditorilor Financiari din România are responsabilitatea de a

Capitolul 2. ORGANIZAREA ŞI EXERCITAREA

În contextul IPPF, prin organizarea activităţii de audit intern se

„Un departament, compartiment, echipă de consultanţi sau alţi

Auditorul intern, angajat sau prestator de servicii, trebuie să fie

2.1. Clarificări generale asupra cadrului

9 Societățile de grup care sunt înregistrate în România și desfășoară activitate pe

există, printr-o structură distinctă în cadrul acesteia 10 (respectiv Comitetul de

10 Global IIA – Frequently Asked Questions: https://global.theiia.org/about/about-

2.2. Guvernanţa corporativă în România

15 OECD – Organisation for Economic Co-operation and Development.

Dacă se decide în consiliul de administraţie al societăţii pe acţiuni

2. Sistemul dualist (administrarea societăţii este realizată de

Directoratul îşi exercită atribuţiile sub controlul consiliului de supra-

2.3. Aspecte legate de relaţia auditorul intern şi

Conform Legii societăţilor nr. 31/1990, republicată, administratorul

caz, auditori interni ori asociaţi cu răspundere nelimitată, în alte societăţi

2.4. Comitetul de audit

auditate. Acesta este alcătuit din membri neexecutivi ai consiliului de

prestării unor servicii care nu sunt de audit către organizaţia auditată în

2.5. Relaţia dintre controlul intern şi auditul intern

Controlul intern este un concept dinamic care vizează toate

Activităţile de control intern trebuie corelate cu apetitul de risc

de control pot fi grupate în funcţie de momentul în care sunt exercitate în

2.5.1. Activităţile preventive de control intern

2.5.2. Activităţile de control de detectare

şi, mai concret, în lipsa autorizării plăţii de pe factura unui furnizor, nu se va

operează tranzacţia şi cealaltă a persoanei care autorizează tranzacţia şi care,

7. Oricare alte forme care vin să susţină activitatea de control

Modelul COSO20 se reprezintă în mod simbolic printr-un cub şi

Elementele esenţiale ale cubului COSO se pot sumariza astfel:

(i) Mediul de control se referă la atitudinea generală, integritatea,

(ii) Evaluarea riscurilor